NS Weerbaar naar de toekomst

Transcriptie

1 NS Weerbaar naar de toekomst Bevindingen analyse 8 januari 2016

2 Inhoudsopgave Inhoudsopgave Samenvatting Verantwoording analyse Organisatie en structuur NS Kader GRC Inrichting organisatie Governance Nederlandse NS-organisatie Governance Abellio Risk management Ethics & Compliance Audit Integriteitscultuur NS Biedingsproces Vertrouwelijke informatie Inkoop Human resource management Screening Vastgoed Privacy Bijlagen Pagina 1

3 1 Samenvatting 1.1 Leeswijzer De samenvatting bevat de kernbevindingen en verbetervoorstellen voor Governance, Risk management en Compliance als ook verbeterpunten voor enkele specifieke thema s. Het rapport bevat verbeterpunten voor de thema s: biedingsproces, vertrouwelijke informatie, inkoop, human resource management, screening, vastgoed en privacy. 1.2 Achtergrond NS is gestuit op onregelmatigheden bij haar dochteronderneming Qbuzz. Op 28 april 2015 heeft NS deze onregelmatigheden gemeld aan de Minister van Financiën. Hierin noemt NS als belangrijke actie een veelomvattende analyse te laten uitvoeren gericht op de effectiviteit van de interne procedures, risicobeheersing, compliance en controls bij NS en haar dochternemingen. Aandeelhouder en Raad van Commissarissen van NS hebben Alvarez & Marsal (hierna: ons/wij) gevraagd deze analyse uit te voeren. De analyse is dus niet gericht op het opsporen van andere incidenten. De analyse richt zich op processen binnen NS en niet op het handelen van verantwoordelijke medewerkers. 1.3 Opdracht Het doel van de analyse is de effectiviteit te beoordelen van interne procedures, risicobeheersing, compliance en controlemaatregelen (zowel gericht op hard- als soft controls), om onregelmatigheden en niet-integer-gedrag zo veel mogelijk te voorkomen en gewenst gedrag te stimuleren. De analyse omvat de gehele NSorganisatie, voor zover NS zeggenschap heeft en meer dan 50% aandelenbelang. Onze analyse omvat de gehele organisatie tot en met de Raad van Bestuur van NS. Aandeelhouder en Raad van Commissarissen vormen geen onderdeel van deze analyse. Governance, Risk management & Compliance (hierna: GRC) vormen de belangrijkste onderdelen van het business control framework. Kort gezegd is de opdracht: hoe goed werkt het business control framework bij NS om onregelmatigheden en niet-integer-gedrag te voorkomen? Belangrijkste definities Governance omvat de deugdelijkheid van ondernemingsbestuur. De volgende elementen spelen hierin een belangrijke rol: sturing, beheersing, verantwoording en toezicht. Risk management is het proces van het beheersen van risico s, waaronder: a) identificeren en analyseren van risico s, b) ontwerpen en implementeren van maatregelen en c) bewaken (monitoren en rapporteren) van risico s. Compliance wil zeggen dat een organisatie werkt in overeenstemming met weten regelgeving, maar ook in overeenstemming met interne regels. Daar waar de analyse lacunes in het business control framework identificeert, worden verbetervoorstellen gedaan die door NS in een verbeterplan verder kunnen worden uitgewerkt. Pagina 2

4 1.4 Werkzaamheden en resultaat 1.5 Samenvattende kernbevinding In het kader van de opdracht hebben wij procedures, protocollen en reglementen betreffende de beheersing van onregelmatigheden en niet-integer-gedrag geanalyseerd. Hiervoor zijn meer dan documenten verzameld en zijn diverse bezoeken afgelegd bij de Operating Companies. De documenten omvatten procedurebeschrijvingen, instructies, protocollen, interne- en externe auditrapporten, compliancerapporten, et cetera. Om inzicht te krijgen in de werking van de procedures en in de NS-cultuur zijn meer dan 160 gesprekken gevoerd met medewerkers en is een enquête gehouden bij een aselecte deelwaarneming van NS medewerkers. Deze vragenlijst is uitgezet in alle lagen van de organisatie en verstrekt aan ongeveer medewerkers. Circa medewerkers hebben de vragenlijst geretourneerd. In de analyse zijn (uitvoerende) medewerkers, management en directie betrokken. Ten slotte zijn notulen en relevante bijlagen van de Executive Committee (hierna: ExCo), de Raad van Commissarissen (hierna: RvC) en de Auditcommissie geanalyseerd (meer dan 600 documenten). Onze bevindingen zijn per bedrijfsonderdeel, activiteit en thema uitgewerkt en geverifieerd door verantwoordelijke medewerkers. Daarnaast is een externe verificatie uitgevoerd op onze analyse en dit rapport. Tijdens onze analyse is door NS een meldpunt ingericht waar niet eerder gedeelde informatie gemeld kon worden. Hier zijn geen onregelmatigheden gemeld vergelijkbaar met het incident tijdens de aanbesteding van het openbaar vervoer in Limburg. De informatie verstrekt aan het meldpunt is voor zover relevant meegenomen in onze analyse. Gedurende onze werkzaamheden hebben wij alle medewerking gekregen van medewerkers, management en directie. De GRC-organisatie binnen NS is nog niet voldoende op orde om het risico op onregelmatigheden en niet-integer-gedrag zoveel als mogelijk te voorkomen en om gewenst gedrag te stimuleren. Hierdoor bestaat onvoldoende inzicht in integriteitsrisico s en een verhoogde kans dat integriteitsrisico s onvoldoende worden beheerst. Zowel op gebied van Governance, Risk management als Compliance zijn structurele verbeteringen noodzakelijk om op het terrein van integriteit en onregelmatigheden beter in control te komen en deze risico s te verminderen. Overigens zonder dat dit betekent dat het risico tot nul gereduceerd kan worden. Gegeven de kenmerken van niet-integer-gedrag is dat niet mogelijk. Dat de GRC-organisatie nog niet voldoende op orde is, betekent niet dat wij aanwijzingen hebben dat onregelmatigheden zoals het incident tijdens de aanbesteding van het openbaar vervoer in Limburg veelvuldig voorkomen. Zo heeft het meldpunt geen aanwijzingen opgeleverd van vergelijkbare onregelmatigheden. Verschillende aandachtspunten ten aanzien van de cultuur zijn gebleken, zoals verbeteren van voorbeeldgedrag en bevorderen van het aanspreken op afwijkend gedrag in een aantal specifieke bedrijfsonderdelen. Uit de enquête blijkt dat medewerkers betrokken zijn en vertrouwen hebben in hun collegae. Er is sprake van een open werkcultuur. Behoudens in een aantal specifieke bedrijfsonderdelen kunnen medewerkers elkaar aanspreken op ongewenst gedrag. De meerderheid van de medewerkers heeft aangegeven de leidinggevende te kunnen benaderen met vragen over integriteit. 1.6 Kernbevinding governance De aansturing en beheersing van de gehele NS-organisatie ligt bij de ExCo onder de eindverantwoordelijkheid van de Raad van Bestuur (hierna: RvB). De RvB legt over haar aansturing en beheersing verantwoording af aan de RvC en de aandeelhouder. De aansturing en beheersing loopt via een goed ontwikkelde Pagina 3

5 financiële rapportagestructuur en planning- en control cyclus. De aansturing en beheersing is sterk gericht op financiële en operationele prestaties, zoals afspraken over punctualiteit en veiligheid. De ExCo volgt deze KPI s via maandrapportages per bedrijfsonderdeel. De maatregelen om risico s te beheersen, worden gemonitord door de RvC en de Auditcommissie. De ExCo wordt via deze maandrapportages niet geïnformeerd over compliance gerelateerde onderwerpen, zoals over incidentmeldingen, het gifts & hospitality register of het niet toepassen van de inhuurdesk. Dat geldt zowel voor de Nederlandse bedrijfsonderdelen als voor Abellio. In de periode 2013 tot en met augustus 2015 staat het onderwerp ethics & compliance slechts éénmaal expliciet op de ExCo agenda: dit bij de start van de functie Ethics & Compliance. Ethics & Compliance staat niet op de ExCo agenda, wel worden ad hoc specifieke onderwerpen, zoals de gedragscodes van NS en Abellio, naleving bescherming persoonsgegevens en vertrouwelijke informatie behandeld. Het beheersings- en aansturingsmodel van de Nederlandse organisatie en Abellio is wezenlijk verschillend. Bij Abellio is sprake van een piramide-organisatie waarbij de aansturing en beheersing door de landenorganisaties en de directies van de individuele Operating Companies plaatsvindt. Deze Operating Companies worden op hun beurt aangestuurd door Abellio Transport Holding. De uitvoerende organisaties zijn per concessie georganiseerd met eigen ondersteunende functies. Het beheersen van integriteitsrisico s vindt binnen deze Operating Companies plaats. NS heeft bewust gekozen om Abellio als aandeelhouder aan te sturen. De keuze voor aansturing op afstand is gemaakt vanuit beheersing van het financiële risico voor NS en haar aandeelhouder. Mede door het groeiend aantal concessies dient de balans tussen beheersing van risico s via het stellen van eisen en het aansturen en beheersen op afstand herijkt te worden. Abellio werkt thans aan een nieuw governancemodel, waarbij specifieke aandacht bestaat voor deze balans. Abellio heeft regelmatig met ons overlegd om het nieuwe governancemodel aan te laten sluiten bij onze aanbevelingen. Tot slot zijn relatief veel medewerkers onbekend met regels of met de gewenste toepassing van regels. Daarom is het voor medewerkers niet altijd duidelijk wat wel en niet mag. Medewerkers van hoog tot laag in de organisatie spreken over mogen en moeten regels en dat men zelf een afweging moet kunnen maken hoe te handelen. Daarnaast bestaan binnen de organisatie veel rollen met een gedeelde verantwoordelijkheid, waardoor verantwoordelijkheid nemen soms als lastig wordt ervaren. Deze aspecten zijn we in de governance van NS in meer of mindere mate tegengekomen. Onbekendheid met regels of onbekendheid met de juiste toepassing van regels, leidt tot een verhoogd risico op (onbewust) normafwijkend gedrag (zie ook 1.8). 1.7 Kernbevinding risk management In 2012 is een eerste plan opgesteld om de kwaliteit van het risk management binnen NS te verhogen. In 2014 hebben RvC en directie van NS een visie en een plan ontwikkeld op risk management. Hiertoe heeft Oliver Wyman een analyse uitgevoerd van de status van risk management binnen NS. De conclusie van deze analyse was dat NS achterloopt bij het identificeren, kwantificeren, mitigeren, rapporteren en monitoren van risico s als ook op risicocultuur. Daarnaast loopt de spoorwegen als industrie achter bij andere sectoren. Dit bureau heeft een verbeterplan voor het Risk Framework opgesteld. NS is een complexe organisatie met een diversiteit aan activiteiten, stakeholders en toezichthouders in binnen- en buitenland. Sinds 2012 werkt NS aan het verbeteren van het risk managementsysteem. Gezien dit profiel is het huidige risk managementsysteem nog niet voldoende ontwikkeld en nog niet op het door NS gestelde ambitieniveau best in class. Ondanks dat in 2012 is gestart met het ontwikkelen van een risk managementplan, dient de eerste stap in het risk managementplan het vaststellen van de risk appetite en risicotolerantie nog te worden afgerond. Er is dus relatief weinig voortgang geboekt en er zijn weinig tastbare resultaten Pagina 4

6 zichtbaar. Om het gestelde ambitieniveau te halen, dient NS op dit onderwerp te versnellen en door te pakken. Integriteit was de afgelopen jaren niet expliciet benoemd als strategisch risico, inmiddels is dit wel het geval. NS had de beheersmaatregelen destijds als voldoende beoordeeld om dit risico te mitigeren. NS onderkent dat deze beoordeling achteraf onjuist is gebleken. Het is belangrijk dat actief invulling wordt gegeven aan het risk managementplan. 1.8 Kernbevinding ethics & compliance Eind 2012 is een functie Ethics & Compliance opgezet, dit naar aanleiding van de UK Bribery Act en de hedendaagse standaarden van good governance. De verantwoordelijkheid voor een goede beheersing van compliance risico s ligt bij het lijnmanagement. Ethics & compliance is geen vaststaand onderwerp op de agenda van de ExCo en het rapporteren over ethics & compliance is geen integraal onderdeel van de planning- en controlcylus. Hierdoor wordt de ExCo niet structureel geïnformeerd over ethics & compliance. Ook via de maandrapportages van de bedrijfsonderdelen wordt de ExCo niet over ethics & compliance geïnformeerd. Hierdoor bestaat onvoldoende inzicht in integriteitsrisico s en bestaat een verhoogde kans dat integriteitsrisico s onvoldoende worden beheerst. Ieder kwartaal komen alle compliance officers van NS bijeen om voortgang jaarplan en compliance issues & regulatory events te bespreken. In de loop van 2014 zijn de Ethics & Compliance kwartaalrapportages na een evaluatie door Ethics & Compliance om efficiencyredenen vervangen door een geconsolideerd Ethics & Compliance Jaarverslag. Daarnaast melden de compliance officers tussentijds relevante onderwerpen of incidenten aan de directie van NS. compliance werkzaamheden toegewezen. De functie Ethics & Compliance omvat 2,6 fte voor de gehele NS-organisatie. Daarnaast zijn compliance activiteiten binnen de OpCo s gefragmenteerd belegd bij verschillende afdelingen, zoals HR, Audit, Legal et cetera. Uit interviews is gebleken dat compliance officers vanwege de prioriteitstelling van het bedrijfsonderdeel nauwelijks toekomen aan hun taak. Dit betekent dat zij feitelijk minder dan 10% van hun tijd besteden aan hun compliance taakstelling. Gezien het profiel van NS is de capaciteit van de functie Ethics & Compliance op dit moment niet voldoende. Uit de enquête blijkt dat medewerkers relatief onbekend zijn met de compliance officer en de vertrouwenspersoon. In Nederland weet 18% wie haar compliance officer is en 34% wie haar vertrouwenspersoon is. In het buitenland is dit respectievelijk 33% en 28%. Verder zijn medewerkers slechts beperkt bekend met relevante regels om integriteitsrisico s te beheersen. In Nederland is de Gedragscode bekend bij 56% van de medewerkers, buiten Nederland is dit percentage 51%. De bekendheid van overige regels is veel beperkter. In Nederland is 16% van medewerkers bekend met de klokkenluidersregeling, 10% met Beleid Omkoping en Corruptie, 12% met privacybeleid en 12% met het gifts & hospitality register. In het buitenland is de bekendheid met deze regels respectievelijk: 37%, 38%, 36% en 32%. Binnen de Nederlandse NS-organisatie bestaat een veelheid en diversiteit aan regels (soms verouderd of overbodig). Daarbij is medewerkers te weinig uitleg en training gegeven over hoe in bepaalde situaties te handelen. Medewerkers vinden dat men zelf een afweging moet kunnen maken hoe te handelen. Overigens wordt bij sommige bedrijfsonderdelen zoals bij NS Stations meer aandacht besteed aan de manier waarop codes moeten worden toegepast. De functie compliance officer is slechts een neventaak van de riskmanager of de juridisch medewerker. Veelal wordt 0,1 fte van de taak per medewerker aan Pagina 5

7 1.9 De verbeterpunten op hoofdlijnen Verbeterpunten Governance Wat betreft governance is de belangrijkste stap gezet door het besluit om een bestuurder aan te trekken met als specifieke verantwoordelijkheid GRC. In de businessplannen dient risicoanalyse en risicobeheersing meer aandacht te krijgen, specifiek voor het thema ethics & compliance. In het verlengde daarvan dienen deze onderwerpen in de maandrapportages ter verantwoording aan de ExCo opgenomen te worden. Voor risk management kan daarbij worden aangesloten op het risk managementplan van Oliver Wyman. Compliance dient dus een standaard onderdeel te zijn van de managementrapportages aan de ExCo. Specifieke KPI s voor compliance risico s dienen hiertoe bepaald te worden. Om het financiële risico voor NS en haar aandeelhouder te beheersen, heeft NS bewust gekozen om Abellio als aandeelhouder op afstand aan te sturen. Gezien de groei van Abellio bevelen wij aan om voor Abellio de balans tussen voldoende afstand en voldoende in control zijn opnieuw te beoordelen. Ten aanzien van ethics & compliance dient NS daarnaast haar eigen standaarden op te nemen in het businessplan van Abellio, zodat NS kan waarborgen dat deze consistent zijn met NS. Het aandeelhoudersbesluit Abellio geeft NS hiertoe de formele grondslag. Hierdoor kan NS afdwingen dat Abellio aan de standaard van NS voldoet. In het verlengde hiervan dient de ExCo via de maandelijkse rapportages van de Nederlandse Operating Companies en van Abellio ook over ethics & compliance geïnformeerd te worden. Hierdoor kan NS op deze onderwerpen (bij)sturen en toezicht houden. Verdere integratie van concernstaven in het proces van risico identificatie is nodig om beter inzicht in compliance risico s te krijgen en deze risico s beter te beheersen. De belangrijkste overige aanbevelingen Naast verbeterpunten op GRC zijn ook verbeterpunten geïdentificeerd op specifieke thema s die ofwel een verhoogd risico op integriteitsissues inhouden of belangrijk zijn bij de beheersing van deze risico s. Biedingsproces Wij adviseren om aanvullende procedures op te stellen die helpen voorkomen dat onrechtmatig data wordt gedeeld tussen biedingsteam en de operatie. Dit speelt vooral bij biedingen op concessies die al in bezit zijn van NS, Abellio en QBuzz. Van belang is dat medewerkers in het biedingsteam en in de OpCo geïnformeerd worden over het bestaan en het belang van deze procedures. Bij elk nieuw bod zouden medewerkers actief herinnerd dienen te worden over de in acht te nemen procedures. Vertrouwelijke informatie Het bewustzijn over wat vertrouwelijke informatie is en welke mogelijkheden NS biedt om met vertrouwelijke informatie om te gaan, dient verbeterd te worden. Er heerst een cultuur waarin veilig werken met bedrijfsvertrouwelijke informatie vooral afhankelijk is van de inschatting van de medewerker zelf. Hierdoor bestaat het risico dat bedrijfsgevoelige informatie openbaar wordt, met mogelijke schade voor NS tot gevolg. Medewerkers hebben nog onvoldoende kennis van de mogelijkheden die NS biedt om passend om te gaan met vertrouwelijke informatie. Pagina 6

8 Screening NS past screening toe op medewerkers, inhuur van externen, uitzendkrachten leveranciers en bij vastgoedtransacties. Deze screeningsactiviteiten zijn niet op één plaats in de organisatie belegd en er bestaat geen integraal en consistent screeningsbeleid. Voor medewerkers vindt screening plaats op grond van een risicofunctie. De lijst met risicofuncties vormt de basis voor de afdeling HR voor het laten uitvoeren van screening. Deze lijst bevat met name de hoge bestuursfuncties binnen NS (leden RvB, directievoorzitters bedrijfsonderdelen). Of nu sprake is van het screenen van medewerkers, de inhuur van externe zelfstandigen, uitzendkrachten, leveranciers of bij vastgoedtransacties, de richtlijnen zijn behoudens voor hoge bestuursfuncties niet dwingend voorgeschreven ofwel er bestaan uitzonderingen. Gewaarborgd dient te worden dat screening telkens consistent wordt toegepast, zodat het risico op integriteitsinbreuken beter kan worden beheerst. Hoe gaat dit werken? Het implementeren van de verbeterpunten levert op dat het business control framework verbetert en NS beter inzicht krijgt in integriteitsrisico s, deze risico s beter kan beheersen en daarmee beter in control komt. GRC is belangrijk omdat het de organisatie helpt om efficiënter haar risico s te beheersen en daarmee bedrijfsdoelstellingen te realiseren. Gezien de aard van integriteitsissues en onregelmatigheden zijn deze overigens nooit geheel uit te sluiten. De recente aanstelling van een bestuurder Governance, Risk & Compliance maakt een actievere aansturing van de organisatie op het gebied van ethics & compliance mogelijk en geeft aan hoe belangrijk de top van de organisatie dit onderwerp vindt. Tegelijkertijd wordt hiermee het belang van ethics & compliance voor de hele organisatie nogmaals duidelijk gemaakt. De aanstelling van deze bestuurder en de nieuwe gedragscode bieden een mooie kans om het belang van ethics & compliance te herijken. Om succesvol te zijn dient de organisatie de juiste omstandigheden te creëren, waarvan wij er hier enkele noemen: Door een omvattende training rondom de nieuwe gedragscode op te zetten, wordt tegelijkertijd het bewustzijn van medewerkers verbeterd over onderstaande procedures en regelingen: o Klokkenluidersregeling o Business Control Incidents procedure o Fraudebeleid o Reglement Veilig omgaan met informatie o Klachtenregeling Training- en discussiesessies verbeteren zowel de bekendheid met regels als de praktische toepassing van deze regels. Medewerkers dienen beter bekend te zijn met waar men zich kan melden. Belangrijk is dat NS duidelijk uitlegt hoe met met meldingen omgaat en hierin consistent handelt, hierdoor kan het vertrouwen groeien en zal eventuele angst afnemen. Bij ScotRail werd meermalen gesproken over voorkeursbehandeling en vriendjespolitiek. Wij merken op dat de ScotRailconcessie per 1 april 2015 onderdeel is van Abellio. Door heldere KPI s voor ethics & compliance te bepalen en de Operating Companies en Abellio hierover maandelijks te laten rapporteren, kan de ExCo (bij)sturen en integriteitsrisico s beter beheersen. Ethics & compliance kan hierdoor stap voor stap groeien, naar het benodigde volwassenheidsniveau. KPI s kunnen bijvoorbeeld zijn: o Succesvol afgeronde trainingen o Incidentmeldingen o Screening: welke nieuwe medewerkers wel / niet o Gifts & Hospitality register Pagina 7

9 De werking van ethics & compliance dient op basis van de specifieke KPI s getoetst te worden, bijvoorbeeld door NS Risk & Audit. Het auditplan dient hierop ingericht te worden, zodat onafhankelijk bepaald kan worden of men voldoende in control is. Bepaal bij welke regels een controlerende of stimulerende benadering past, of een combinatie van beide. Hierdoor ontstaat een beter evenwicht tussen hard- en soft controls, waardoor het voor medewerkers duidelijker is wat van hen verwacht wordt. Voor medewerkers ontstaat hierdoor helderheid over van welke regels absoluut niet afgeweken mag worden (zero tolerance). Training- en bewustwordingssessies zijn hiertoe belangrijk. Zorg er voor dat de werkzaamheden van Audit zich hierop toespitsen. Bij een stimulerende benadering dient meer aandacht besteed te worden aan training en het stimuleren van voorbeeldgedrag. Hoeveel tijd is nodig voor implementatie? Via een veranderprogramma kunnen de diverse verbeterpunten worden verbonden tot een omvattend verbetertraject. Internationale standaarden voor het inrichten van compliance management zoals ISO 19600, kunnen hier behulpzaam bij zijn. Door goed gebruik te maken van de centrale rol van concernstaven kan het invoeren van de verbeteringen eenvoudiger en sneller worden gerealiseerd. Het totale programma zal twee tot drie jaren omvatten. In dit cultuurprogramma dient expliciet aandacht besteed te worden aan: Het verder verbeteren van tone at the top Het wegnemen van (het beeld van) voorkeursbehandeling binnen specifieke onderdelen / afdelingen Het stimuleren van voorbeeldgedrag Het aanspreken op afwijkend gedrag Pagina 8

10 DEEL A Pagina 9

11 2 Verantwoording analyse Het doel van onze opdracht is om een antwoord te geven op de vraag of interne procedures, risicobeheersing, compliance en controlemaatregelen bij NS voldoende zijn om onregelmatigheden en niet-integer-gedrag te voorkomen en gewenst gedrag te stimuleren. Rapportage Dit rapport beschrijft de governance, risk en compliance (hierna: GRC) organisatie bij NS op hoofdlijnen en bevat de belangrijkste conclusies en aanbevelingen. Hieronder een korte beschrijving van aspecten die hierbij van belang zijn. Governance is een managementbenadering rondom de deugdelijkheid van ondernemingsbestuur. Hierin spelen in ieder geval de volgende elementen een belangrijke rol: sturing, beheersing, verantwoording en toezicht. Risk management is het proces van het beheersen van risico s. Identificeren en analyseren van risico s Ontwerpen en implementeren van maatregelen Bewaken (monitoren en rapporteren) van risico s Compliance wil zeggen dat een organisatie werkt in overeenstemming met wet- en regelgeving, maar ook in overeenstemming met interne regels. Ten slotte gaan wij in op Audit om te beoordelen of en in welke mate de beheersmaatregelen rondom integriteitsrisico s en onregelmatigheden worden beheerst. De bevindingen op detailniveau, zijn geaggregeerd tot onderbouwde conclusies met betrekking tot de GRC-organisatie bij NS. De analyse is gericht op de organisatie en bedrijfsprocessen en niet op de verantwoordelijkheid van personen. Vanwege de vereiste vertrouwelijkheid tegenover de medewerkers die aan dit onderzoek hebben meegewerkt en vanwege de bedrijfsvertrouwelijkheid van de geraadpleegde documenten en de opgestelde memo s, bevat deze rapportage geen herleidbare citaten uit interviews en geen gedetailleerde beschrijvingen van interne procedures en documenten. Uitgevoerde werkzaamheden In het kader van de analyse hebben wij de volgende werkzaamheden verricht: Verzamelen van relevante informatie betreffende de toegepaste risicobeheersing (procedures, protocollen, reglementen) binnen de bedrijfsonderdelen en staven over de periode 1 januari 2013 tot en met 1 mei 2015 Analyseren van de verzamelde informatie Interviewen van sleutelfunctionarissen van NS Opstellen van een vragenlijst betreffende bedrijfscultuur en integriteit en uitzetten in de organisatie Faciliteren van plenaire sessies met medewerkers van de werkplaats NedTrain, rijdend personeel van NS Reizigers en winkelmedewerkers van NS Stations waarbij de vragenlijst betreffende bedrijfscultuur en integriteit via stemkastjes zijn doorlopen Site visits bij bedrijfsonderdelen en inhoudelijke gesprekken met medewerkers van de betreffende onderdelen Verificatie van bevindingen door NS-medewerkers Opstellen rapport Daarnaast is een externe verificatie uitgevoerd op onze analyse door de heer André de Jong van ABDTOPConsult. Pagina 10

12 De analyse heeft zich gericht op de werkmaatschappijen van NS en de daarin opgenomen dochterondernemingen - niet zijnde stichtingen en commanditaire vennootschappen - waarin NS zeggenschap heeft en meer dan 50% aandelenbelang. De werkmaatschappijen zijn: NS Reizigers BV NS Internationaal BV Abellio Transport Holding BV NedTrain BV NS Financial Services (Holding) Ltd. NS Stations BV NS Vastgoed BV NS Insurance NV NS Opleidingen BV NS Lease BV In bijlage 2 is een overzicht van de dochterondernemingen van deze werkmaatschappijen opgenomen. Bij de uitvoering van de analyse hebben wij meer dan interne documenten ontvangen, ruim 160 NS-medewerkers gesproken en ontvingen wij ruim geretourneerde vragenlijsten. Ten slotte zijn notulen en relevante bijlagen van de Executive Committee (hierna: ExCo), de Raad van Commissarissen en de Auditcommissie geanalyseerd (meer dan 600 documenten). Onze bevindingen zijn per bedrijfsonderdeel, activiteit en thema vastgelegd in gedetailleerde memo s. Deze memo s vormen de grondslag van de bevindingen in dit rapport. De bevindingen in deze memo s zijn door verantwoordelijke medewerkers geverifieerd. Voor een gedetailleerde beschrijving van de uitgevoerde werkzaamheden verwijzen wij naar bijlage 3. Ontwikkelingen tijdens het onderzoek De achtergrond van de analyse wordt gevormd door een aantal achtereenvolgende incidenten waarbij zich ernstige integriteitsinbreuken hebben voorgedaan. Door deze incidenten is de positie van zowel de Chief Executive Officer (hierna: CEO) als van de voorzitter van de Raad van Commissarissen (hierna: RvC) van NS onhoudbaar gebleken. Deze incidenten in samenhang met de aankondiging van deze analyse vanuit het Ministerie van Financiën en de RvC, hebben binnen NS al aanleiding gegeven tot zelfonderzoek en verbeteringen van de GRC-organisatie. Indien van toepassing, zullen wij deze al doorgevoerde verbeteringen aangeven. Leeswijzer bij dit rapport Bij het beoordelen van de GRC-organisatie, is allereerst een nader inzicht in de activiteiten en de omgeving van de NS van belang. Zo zijn voor het beheersen van risico s onder meer de volgende aspecten relevant: de aard, diversiteit, geografische spreiding en complexiteit van de activiteiten omgevingsfactoren, waaronder het wettelijk kader, toezichthouders en maatschappelijke stakeholders de gevoeligheid voor publiciteit In dit rapport schetsen wij in hoofdstuk 3 eerst het profiel van NS, waarin kort op bovengenoemde factoren wordt ingegaan. Ook geven wij kort de historische ontwikkeling van NS weer. Vervolgens gaan wij in hoofdstuk 4 tot en met 10 specifiek in op de GRCorganisatie van NS, waarin achtereenvolgens een analyse volgt van: de governance structuur, de risk managementorganisatie en de compliance en controlemaatregelen voor zover gericht op het voorkomen van onregelmatigheden en niet-integer-gedrag. Pagina 11

13 Bij elk van de elementen van de GRC-organisatie, geven wij eerst de feitelijke situatie weer. Verbeterpunten zijn toegespitst op aanbevelingen ten aanzien van de GRC-organisatie om te komen tot een situatie waarin onregelmatigheden en niet-integer-gedrag zoveel als mogelijk kunnen worden voorkomen. De cultuur is een belangrijk onderdeel bij het tegengaan van ongewenst gedrag en het stimuleren van integriteit. In hoofdstuk 11 gaan wij daarom nader in op de integriteitscultuur bij NS. Onze bevindingen met betrekking tot de cultuur bij NS zijn gebaseerd op gesprekken met medewerkers en de beantwoording van de vragenlijst. Tot slot is een aantal specifieke bedrijfsprocessen en thema s beoordeeld, waarvan de risico s op niet-integer-gedrag en onregelmatigheden hoger zijn. Deze bedrijfsprocessen en thema s worden in de hoofdstukken 12 tot en met 18 op hoofdlijnen beschreven, waarbij tevens wordt aangegeven wat er goed gaat op het gebied van integriteit en wat er beter kan. Deze laatste constatering leidt tot een aantal aanbevelingen. Pagina 12

14 DEEL B Pagina 13

15 3 Organisatie en structuur NS NS is een complexe organisatie met een diversiteit aan activiteiten, stakeholders en toezichthouders in binnen- en buitenland. De kernactiviteit van NS betreft het verzorgen van openbaar vervoer. Naast het openbaar vervoer verzorgt NS verschillende andere activiteiten, waaronder lease, verzekeringen, retail, fietsverhuur. Van één NS en één uniforme cultuur is daarom geen sprake. Verder betekent dit dat NS te maken heeft met veel nationale- en internationale toezichthouders. Het overgrote deel van de Nederlandse organisatie is gericht op het uitvoeren van de hoofdrailnetconcessie; deze concessie is veruit de grootste openbaar vervoerconcessie waardoor NS de grootste marktpartij is. De buitenlandse organisatie verricht haar activiteiten vaak als kleinere speler in een volledig commerciële omgeving. Deze factoren zijn medebepalend voor het benodigde volwassenheidsniveau en de inrichting van de GRC-organisatie. Verder hebben de recente incidenten en het feit dat NS voortdurend onder aandacht van de pers en politiek staat de noodzaak voor een volwassen GRC versterkt, omdat deze incidenten het vertrouwen van de stakeholders en toezichthouders hebben aangetast. 3.1 Historie NS NS is in 1938 gevormd als samenvoeging van de Hollandsche IJzeren Spoorweg Maatschappij en de Maatschappij tot Exploitatie van Staatsspoorwegen. NS wordt opgericht als naamloze vennootschap met de Staat der Nederlanden als enig aandeelhouder. Het Ministerie van Verkeer en Waterstaat vervulde op dat moment de rol van aandeelhouder. NS is op dat moment zowel beheerder van de railinfrastructuur als vervoerder op het spoor. Tot eind jaren 80 beschrijven medewerkers het bedrijf als een paternalistisch en militair gestuurd bedrijf. Spoorliberalisering en verzelfstandiging NS Tegen de achtergrond van Europese ontwikkelingen op het spoor 1, gaat de Nederlandse overheid in 1995 over tot het organisatorisch meer op afstand plaatsen van NS. 2 Bij deze reorganisatie worden de subsidies aan NS afgebouwd. Ook wordt een scheiding aangebracht tussen het beheer van de railinfrastructuur en de exploitatie van vervoersdiensten. Met de verzelfstandiging in 1995 worden de verschillende activiteiten van NS ondergebracht in bedrijfsonderdelen die als profit center moeten gaan functioneren. In deze structuur blijkt een goede samenwerking tussen de NSonderdelen niet vanzelfsprekend. 3 Begin 2000 roept de introductie van het project Bestemming: klant (ook wel rondje om de kerk genoemd) veel interne weerstand op. Er volgen stakingen gesteund door de vakbonden. De voorgenomen organisatorische wijzigingen leiden tot wantrouwen tussen bedrijfsonderdelen. Ook de politiek mengt zich actief in de discussie. Uiteindelijk wordt de crisis zo groot, dat directie en RvC van NS eind 2001 hun functie neerleggen en er een interim-directie wordt aangesteld. Medewerkers kenmerken deze periode als arbeiderszelfbestuur waarin zij vanuit hun taak zelfstandig beslissingen namen. 1 Onder meer als gevolg van richtlijn 91/440, Europese Unie In de publiciteit vaak aangeduid als verzelfstandiging. Formeel klopt deze term echter niet aangezien NS altijd als N.V. heeft gefungeerd. 3 Bron: De Ontsporing, Silfhout en Van den Berg Pagina 14

16 Als onderdeel van de liberalisering van het spoor, wordt het spoorwegennet opgedeeld in een hoofdrailnet en regionale spoorlijnen. De exploitatie van vervoersdiensten op het hoofdrailnet wordt ondergebracht in een concessie, die door NS wordt uitgevoerd. De overige lijnen worden in regionale concessies ondergebracht en aanbesteed. Hierdoor zijn inmiddels ook andere vervoerders dan NS actief op regionale lijnen, zoals Arriva en Veolia. In 2002 wordt het beheer van de railinfrastructuur (ProRail) afgesplitst. In 2005 gaan de aandelen van NS over van het Ministerie van Verkeer en Waterstaat (nu Ministerie van Infrastructuur en Milieu) naar het Ministerie van Financiën. Sinds 2009 betaalt NS een concessievergoeding aan het Ministerie van Infrastructuur en Milieu. NS legt verantwoording af aan het Ministerie van Infrastructuur en Milieu over de afgesproken prestaties in de concessieovereenkomst. Eind 2014 heeft het Ministerie van Infrastructuur en Milieu de concessieovereenkomst voor het Nederlandse hoofdrailnet inclusief de HSL-Zuid tot 2025 onderhands aan NS gegund. Om de samenwerking tussen de verschillende bedrijfsonderdelen te faciliteren, worden rond 2005 verschillende centrale adviesfuncties gecreëerd. Doordat de verschillende bedrijfsonderdelen als zelfstandige profit centers functioneren, ontstaan binnen de organisatie zelfstandige belangen die niet noodzakelijkerwijs parallel lopen met het belang van NS als geheel. Doelstelling van centraler beleid is om meer coördinatie te bewerkstelligen en processen meer te professionaliseren en te regisseren. De zelfstandige positie van de verschillende bedrijfsonderdelen is daarbij nog steeds het uitgangspunt. De rol van de centrale staffuncties is adviserend. Deze ontwikkelingen zijn bepalend geweest voor de cultuur binnen NS. De ontwikkelingen zijn veelal beïnvloed door wet- en regelgeving en de politieke agenda. De verzelfstandiging leidde tot verschillende bedrijfsonderdelen die niet optimaal samenwerkten. Er was sprake van losse bedrijfsonderdelen, met eigen belangen die hun eigen resultaten en doelstelling nastreefden. Ook na de invoering van de centrale staffuncties in 2005 blijft de samenwerking tussen de verschillende bedrijfsonderdelen suboptimaal. Uit een benchmark onderzoek van Hackett in 2012, blijkt dat de financiële prestaties van de onderdelen van NS achterblijven bij vergelijkbare bedrijven in de sector. De functionele aansturing van NS is verkokerd over de verschillende bedrijfsonderdelen en de prestaties blijven achter. In 2012 is daarom de strategie van zelfstandige profit centers herzien en is besloten om de functionele aansturing van NS te centraliseren ( één NS ). Om de financiële prestaties verder te verbeteren, is besloten de organisatie te kantelen, dat wil zeggen de verantwoordelijkheden op het gebied van bepaalde functies niet langer decentraal, maar centraal te organiseren. Om deze omslag te maken is in 2013 het TOP-programma gestart, waarin een looptijd van drie tot vijf jaar is voorzien om de kanteling van de organisatie te bewerkstelligen. Alle professionele competenties komen daarbij centraal onder beheer. Zie hiertoe verder hoofdstuk 5. Ontwikkeling Abellio Terwijl buitenlandse partijen actief worden op delen van het Nederlandse spoor, ontstaat bij NS de behoefte om ook in het buitenland activiteiten te ontwikkelen. Hiertoe richt NS in 2001 dochteronderneming NedRailways (thans Abellio genaamd). Sinds de oprichting in 2008 tot 2013 maakte Qbuzz onderdeel uit van de Nederlandse NS organisatie; NS hield 49% van de aandelen. In 2013 is het resterende deel (51%) overgenomen en is Qbuzz bij Abellio ondergebracht. Pagina 15

17 Om de financiële risico s te beperken, stuurt NS Abellio vanaf de start van haar activiteiten aan als een financiële deelneming op afstand. In 2003 en 2004 verwerft Abellio de eerste twee concessies in joint venture met Serco, te weten Merseyrail en Northern Rail. Momenteel is Abellio actief in het Verenigd Koninkrijk, Duitsland en Nederland met zowel bus- als treinvervoer. Naar verwachting zal in 2015 de omvang van Abellio qua omzet 40% van het geheel bedragen. 3.2 Bedrijfsactiviteiten NS Kernactiviteiten NS is een in Nederland gevestigd openbaar vervoerbedrijf, met substantiële buitenlandse activiteiten. NS is een 100% Nederlandse staatsdeelneming met een belangrijke maatschappelijke rol in de Nederlandse samenleving. De hoofdactiviteit van NS is reizigersvervoer op het spoor. In Nederland en in het buitenland (Abellio), maken dagelijks meer dan 2,6 miljoen mensen gebruik van de diensten van NS. In Nederland is de belangrijkste activiteit van NS het uitvoeren van de concessie voor het treinvervoer op het Nederlandse hoofdrailnet en de HSL-Zuid. Organisatorisch is NS in Nederland onderverdeeld in een aantal bedrijfsonderdelen, die gezamenlijk een rol vervullen bij het uitvoeren van de hoofdrailnetconcessie in Nederland. NS exploiteert het hoofdrailnet al decennia lang. In Nederland is NS met deze concessie de grootste partij in het verzorgen van openbaar vervoer. Abellio exploiteert verschillende buitenlandse openbaar vervoer concessies (trein en bus) en de Nederlandse bus concessies van Qbuzz. De verschillende concessies die Abellio exploiteert kennen ieder hun eigen profiel, voorwaarden en looptijden. De internationale operatie bevindt zich in een andere positie dan de Nederlandse operatie. In het Verenigd Koninkrijk en Duitsland heeft NS dochter Abellio een bescheiden marktaandeel. In Scandinavië is thans alleen een biedingsteam werkzaam. In deze regio s wordt geopereerd in een volledig commerciële omgeving, waarbij Abellio biedt op concessies die ter openbare bieding op de markt worden gebracht ten einde marktaandeel te verwerven. In 2014 realiseerde NS Groep met ruim medewerkers een omzet van circa 4,1 miljard. In 2015 zal de omzet naar verwachting toenemen tot 4,8 miljard, waarbij circa 60% van de omzet gerealiseerd zal worden in Nederland, terwijl de omzet uit de buitenlandse concessies (onder Abellio) circa 40% van het geheel zal bedragen. Overige activiteiten Naast het openbaar vervoer verzorgt NS diverse andere activiteiten. Dit betreffen sterk verwante activiteiten aan het openbaar vervoer, maar tevens minder verwante activiteiten, zoals: Lease activiteiten Corporate & Business Cards Retailactiviteiten op stations (zowel food als non-food) Fietsverhuur en -stalling Verzekeringsactiviteiten Pagina 16

18 Omzetverdeling De omzetverdeling over de verschillende bedrijfsonderdelen en dochteronderneming Abellio is hieronder weergegeven: NedTrain verzorgt het onderhoud van treinen in Nederland. Het bedrijfsonderdeel heeft ongeveer medewerkers en een omzet van 500 miljoen; dit betreft vooral omzet bij NS Reizigers. NS Stations neemt het beheer en de exploitatie van de 406 Nederlandse stations en de ontwikkeling op en rond deze stations voor haar rekening. NS Stations heeft een omzet van 600 miljoen en ongeveer medewerkers. Abellio is verantwoordelijk voor de exploitatie van de buitenlandse concessies in het Verenigd Koninkrijk en Duitsland. In 2014 werd een omzet gerealiseerd van 1,3 miljard (exclusief joint ventures). Door het verwerven van de concessie van ScotRail zal deze omzet naar verwachting stijgen naar 1,9 miljard. Onderstaand is een nadere splitsing opgenomen van de omzet van Abellio over 2014 en het aantal fulltime-equivalents (fte s) ultimo Per 1 april 2015 is de ScotRailconcessie onderdeel van Abellio. Figuur 3.1: Verdeling opbrengsten naar bedrijfsonderdeel en dochterondernemingen (Bron: Jaarverslag 2014) NS Reizigers (inclusief NS Internationaal): is verantwoordelijk voor de uitvoering van het treinvervoer op het Nederlandse hoofdrailnet en de HSL-Zuid en de daarmee samenhangende verkoop- en serviceactiviteiten. NS Reizigers realiseerde in 2014 met medewerkers een omzet van 2,1 miljard. Tabel 3.2 Onderdeel Omzet 2014 (x mln.) Aantal Fte ultimo 2014 Merseyrail (50%) 94 1,200 Nothern (50%) 352 5,000 UK joint ventures 446 6,200 Abellio Greater Anglia 862 3,000 Abellio London Surrey Bus 174 2,200 Abellio Corporate Travel 2 0 Operating companies UK 1,484 11,400 Abellio Duitsland Abellio Nederland 204 1,900 Subtotaal operating 1,766 13,800 companies Joint ventures adjustment ,200 Omzet Abellio geconsolideerd 1,320 7,600 Pagina 17

19 Extern toezicht en verantwoording 3.3 Concessies Als gevolg van de verscheidenheid aan activiteiten van NS zijn diverse toezichthouders relevant voor NS. Denk in Nederland hierbij aan: Hieronder zijn de concessies die NS exploiteert schematisch weergegeven: Autoriteit Consument en Markt (ACM) voor mededinging en sectorspecifieke marktregulering Inspectie Leefomgeving en Transport (ILT) voor veiligheid op het spoor College bescherming persoonsgegevens (hierna: CBP) voor bijvoorbeeld reizigersgegevens De Nederlandsche Bank (DNB) en Autoriteit Financiële Markt (AFM) voor de verzekerings- en leaseactiviteiten In buitenlandse concessies heeft NS te maken met de diverse lokale toezichthouders en overheidsinstanties. Denk hierbij aan: Competition and Markets, BundesKartellamt, Konkurensverket (mededinging) European Data Protection Supervisor, Information Commissioner s Office, Bundesdatenschutzgesetz (bescherming persoonsgegevens) Office of Rail and Road, Eisenbahn-Bundesamt (toezicht op het spoor) Met betrekking tot aandeelhouderszaken legt NS verantwoording af aan het Ministerie van Financiën. Daarnaast legt NS verantwoording af met betrekking tot de uitvoering van de concessies aan het Ministerie van Infrastructuur en Milieu in haar rol van concessieverlener. Ook in het buitenland legt Abellio verantwoording af aan de concessieverlener. Figuur 3.3: Bron Jaarverslag NS 2014 Zie voor meer informatie over de concessies bijlage 4. Pagina 18

20 4 Kader GRC 4.1 Inleiding De Nederlandse Corporate Governance Code beschrijft dat de gewenste governance situatie onder meer een ondernemingsbestuur omvat waarin de lange termijn belangen van de diverse stakeholders worden meegewogen. Uitgangspunten zijn goed ondernemerschap, waaronder integer en transparant handelen door het bestuur, onafhankelijk en voldoende deskundig toezicht en het afleggen van verantwoording over het uitgeoefende toezicht. 4.2 GRC in het kader van de opdracht GRC is van belang om bedrijfsdoelstellingen te realiseren, omdat GRC helpt de organisatie om efficiënter haar risico s te beheersen. De vraag in deze opdracht is meer specifiek of de governance van NS ook voldoende is om onregelmatigheden en niet-integer-gedrag te beheersen. Is de huidige GRC-organisatie voldoende gezien het risicoprofiel van de organisatie. Zoals eerder beschreven wordt bij het beheersen van integriteitsrisico s en onregelmatigheden vaak gesproken over de GRC-organisatie. Bij de analyse van de GRC-organisatie gaan wij in op governance, risk management, ethiek en compliance. Onze analyse is in het kader van deze opdracht telkens gericht op de beheersing van integriteitsrisico s en onregelmatigheden, als ook op het stimuleren van gewenst gedrag. Als een organisatie haar doelstellingen wil realiseren, dan dienen risico s effectief en efficiënt beheerst te worden. Om het risico op reputatieschade te voorkomen, dient te worden voldaan aan wet- en regelgeving (compliance). De toenemende aandacht voor GRC volgt tevens uit een toenemende kritische houding van stakeholders en toezichthouders. Organisaties moeten aantonen dat zij in control zijn. 4.3 Opzet rapport Voor een goede beheersing van integriteitsrisico s en onregelmatigheden is zowel de informele- als de formele organisatie belangrijk. Deze vormen het fundament en de bouwstenen. Consistentie tussen de formele en informele organisatie is belangrijk. Dit betekent dat de structuur (Deel C) en cultuur (Deel D) van de organisatie consistent dienen te zijn en elkaar dienen te versterken. De informele organisatie ziet toe op hoe mensen met elkaar omgaan en wat men gezamenlijk nastreeft. Denk hierbij aan kernwaarden, cultuur, voorbeeldgedrag et cetera. Vanuit governance geldt de noodzaak voor een goed sturingsmechanisme om tijdig (bij) te sturen, te beheersen en verantwoording af te leggen, maar ook om toezicht te blijven houden op de activiteiten. Pagina 19

21 Met de formele organisatie wordt gedoeld op de inrichting van de organisatie, de organisatiestructuur en de formele aansturing en verantwoordelijkheden. Denk hierbij aan de wettelijke rechten en plichten van bestuurders, de statutaire bevoegdheden, mandaten etc. Maar ook hoe verantwoording wordt afgelegd en hoe toezicht wordt gehouden. Hiertoe behandelen wij achtereenvolgens: Hoofdstuk 5 Inrichting organisatie 6 Governance Nederlandse NS-organisatie (sturing, beheersing, verantwoording en toezicht) 7 Governance Abellio (sturing, beheersing, verantwoording en toezicht) 8 Risk management 9 Ethics & Compliance 10 Audit Pagina 20

22 DEEL C Pagina 21

23 5 Inrichting organisatie NS bestaat uit Nederlandse bedrijfsonderdelen, buitenlandse dochterondernemingen en participaties. Zoals hiervoor aangegeven zijn de Nederlandse bedrijfsonderdelen vooral actief met het gezamenlijk uitvoeren van de concessie van het hoofdrailnet, terwijl Abellio meerdere concessies in verschillende landen exploiteert, zie bijlage 4. In dit rapport benoemen wij de Nederlandse activiteit van NS als Nederlandse NS-organisatie. De internationale activiteiten inclusief Qbuzz benoemen we als Abellio. Daar waar wij NS schrijven, verwijzen wij naar de gehele NSorganisatie. De verschillende OpCo s worden aangestuurd door de landenorganisaties (Abellio UK, Abellio Duitsland en Abellio Scandinavië). Deze landenorganisaties worden vervolgens aangestuurd door Abellio Holdings. De betrokkenheid van de staven van NS bij de Abellio-organisatie is zeer beperkt. Schematisch is het verschil in aansturing als volgt weer te geven (vereenvoudigde weergave): Het beheersings- en aansturingsmodel van de Nederlandse NS-organisatie en Abellio is wezenlijk verschillend. Dit verschil in aansturing is een bewuste keus van NS (zie hoofdstuk 6 en 7). In Nederland werkten tot 2012 de bedrijfsonderdelen als zelfstandige profit centers. In 2012 is de strategie van zelfstandige profit centers herzien en is besloten om de functionele aansturing van NS te centraliseren ( Eén NS ). Besloten is de Nederlandse NS-organisatie te kantelen, dat wil zeggen de verantwoordelijkheden op het gebied van bepaalde functies niet meer decentraal maar centraal te organiseren; een matrixorganisatie waarbij staven op groepsniveau zijn gecentraliseerd. Deze staven ondersteunen de bedrijfsonderdelen op de belangrijkste processen (Finance, Procurement, HR, NS Legal, IT, Audit et cetera.). Op zichzelf is de kanteling een logische beweging, gezien het feit dat door de Nederlandse bedrijfsonderdelen gezamenlijk uitvoering wordt gegeven aan de hoofdrailnetconcessie inclusief HSL-Zuid. Figuur 5.1 Bij Abellio is sprake van een piramide-organisatie waarbij de aansturing door de landenorganisaties en de directies van de Operating Companies (hierna: OpCo s) plaatsvindt. De OpCo s zijn per concessie georganiseerd. Per concessie verschillen de eisen en verplichtingen van de concessiehouder. Pagina 22

24 6 Governance Nederlandse NS-organisatie 6.1 Formele structuur NS is een 100% staatsdeelneming. Het Ministerie van Financiën houdt de aandelen. De sturing van de NS-organisatie ligt bij de RvB. De RvB stelt de visie en de daaruit voorkomende missie, strategie en doelstellingen vast. De ExCo is verantwoordelijk voor de uitvoering van de NS-strategie. De RvB maakt deel uit van de ExCo, die verder bestaat uit de directieleden van de bedrijfsonderdelen NS Reizigers, NS Stations, NedTrain, de directeuren HR & Organisatieontwikkeling en de directeur Communicatie & Strategie en de CEO van Abellio. De RvB bestaat uit een CEO en Chief Financial Officer (hierna: CFO). De CEO en de CFO zijn de statutair bestuurders van NS. Daarnaast is het besluit genomen om een bestuurder aan te trekken met als specifieke verantwoordelijkheid GRC. De governance van NS is gebaseerd op het verlicht (of gemitigeerd) structuurregime. Bij een verlicht structuurregime heeft de Algemene vergadering van Aandeelhouders (hierna: AvA) ook het recht om bestuurders te benoemen. De RvC houdt toezicht op het beleid van de RvB. 6.2 Verantwoording en toezicht De verhouding tussen de verschillende bestuursorganen is vastgelegd in: de wet de statuten NS van 12 maart 2008 (hierna: statuten NS) het RvC-reglement van 7 oktober 2009 (hierna: RvC-reglement) het RvB-reglement van 10 november 2014 (hierna: RvB-reglement) het ExCo-reglement van 10 november 2014 (hierna: ExCo-regelement) In het geactualiseerde RvB-reglement is de verhouding met de ExCo formeel vastgelegd. RvB-reglement Het RvB-reglement is in 2014 geactualiseerd, onder meer vanwege de wijziging in de besturing van NS door het formeren van de ExCo. Het Reglement is goedgekeurd door de RvC op 8 oktober 2014 en vastgesteld door de RvB op 10 november Het Reglement is gepubliceerd op de website van NS. In Hoofdstuk I van het Reglement wordt de samenstelling van de RvB geregeld. De leden van de RvB worden benoemd door de AvA op voordracht van de RvC. Met betrekking tot de rol van de ExCo wordt bepaald dat deze de RvB bijstaat in het behalen van de doelstellingen van NS en bij de implementatie en uitvoering van de strategie zoals bepaald door de RvB. Hoofdstuk II van het RvB-reglement gaat nader in op de taken en bevoegdheden van de RvB. Het Reglement maakt duidelijk dat de RvB belast is met het besturen van NS en hierover verantwoording aflegt aan de RvC en de AvA. Ten aanzien van de besluitvorming (Hoofdstuk III), wordt aangegeven, dat de RvB bij zijn besluitvorming telkens een (eventueel) door de ExCo genomen besluit of gegeven advies over hetzelfde onderwerp in overweging neemt. Indien de stemmen in de RvB staken, zal het besluit worden voorgelegd aan de RvC. ExCo-reglement Het ExCo-reglement is eveneens in 2014 in werking getreden, goedgekeurd door de RvC op 8 oktober 2014 en vastgesteld door de RvB op 10 november In het RvB-Reglement staat dat het ExCo-Reglement een aanvulling is op het RvB- Reglement. Pagina 23

25 In hoofdstuk I van het ExCo-reglement staat dat de ExCo bestaat uit: de leden van RvB, de directievoorzitter van de Bedrijfsonderdelen, de Directeur HR en de Directeur Communicatie & Strategie en eventueel andere personen. De voorzitter van de ExCo is de CEO. Voor wat betreft de taken en bevoegdheden is bepaald dat de ExCo ook besluitvormende taken heeft, die vooral gericht zijn op de implementatie en uitvoering van de strategie en de vaststelling van beleid. Tevens is aangegeven dat de RvB de statutaire eindverantwoordelijkheid van NS heeft. Voor wat betreft de vergaderingen van de ExCo (Hoofdstuk III), is bepaald dat deze worden geleid door de CEO of, bij diens afwezigheid, door de CFO. Er zal geen ExCo vergadering plaatsvinden zonder aanwezigheid van ten minste een van beiden. Investeringsmanual In het Investeringsmanual van 1 juli 2014 (hierna: het Investeringsmanual) wordt een praktische uitwerking gegeven aan de mandatering inzake investeringen binnen de Nederlandse NS-organisatie en Abellio. Het Investeringsmanual is van toepassing op alle mogelijke uitgaven en inkomsten in relatie tot investeringen, desinvesteringen en vergelijkbare beslissingen. In het Investeringsmanual bestaan verschillende autorisatiegrenzen voor uitgaven die boekhoudkundig worden geactiveerd en afgeschreven (Capital Expenditures of CAPEX) en uitgaven die als exploitatiekosten direct in de verlies- en winstrekening worden geboekt (Operating Expenditures of OPEX). Directies van bedrijfsonderdelen zijn geautoriseerd tot CAPEX-investeringen van maximaal 5 miljoen en OPEX-investeringen tot maximaal 25 miljoen. De ExCo besluit over CAPEX-investeringen tussen de 5 en 25 miljoen en OPEX-investeringen boven 25 miljoen. Voor CAPEX-investeringen boven 25 miljoen is goedkeuring van de RvC vereist. Voor biedingen op concessies in landen waar NS geen activiteiten heeft, is altijd een RvC-besluit nodig. Voor concessiebiedingen in landen waar NS al actief is, heeft de directie van het bedrijfsonderdeel autorisatie tot een investeringswaarde van 5 miljoen. Bij een investeringswaarde tussen de 5 en 25 miljoen is een besluit van de ExCo vereist. Bij een investeringswaarde boven 25 miljoen is goedkeuring van de RvC vereist. Bevoegdhedenreglement In het concept-bevoegdhedenreglement van 16 april 2015 (hierna: bevoegdhedenreglement) is onder meer de rol van de ExCo in de uitvoering van besluitvorming van de organisatie opgenomen. Het bevoegdhedenreglement bevat een overzicht van het geactualiseerde RvB-reglement, het ExCo-reglement en de Investeringsmanual. Dit bevoegdhedenreglement dient ter vervanging van het directiereglement Nederlandse Spoorwegen uit 2006 (hierna: directiereglement 2006). Het directiereglement 2006 is verouderd en de investeringsgrenzen zijn diverse malen geamendeerd. Ook gaat het directiereglement 2006 nog uit van het oude besturingsmodel, voor de vorming van de ExCo. Het bevoegdhedenreglement heeft geruime tijd ter instemming voorgelegen bij de ondernemingsraad maar is nog niet geaccordeerd. Op dit moment wordt gewerkt aan een nieuwe versie van het bevoegdhedenreglement die opnieuw aan de Ondernemingsraad zal worden voorgelegd. Momenteel werkt NS naar de geest van het bevoegdhedenreglement. NS Legal heeft aangegeven dat het bevoegdhedenreglement een overzicht van de goedkeuringsprocedure betreft van het RvB-reglement, het ExCo-reglement en het Investeringsmanual die allen in 2014 in werking zijn getreden. Pagina 24

26 6.3 Aansturing en beheersing Financiële rapportages aan aandeelhouder De beleidsmatige sturing en beheersing is direct van toepassing op de Nederlandse bedrijfsonderdelen van NS. Voor wat betreft de uitvoering van het beleid stuurt de ExCo de bedrijfsonderdelen aan via een goed ontwikkelde financiële rapportagestructuur en planning- en control cyclus. Verder worden, naast de bestaande bedrijfsonderdelen en de Financefunctie, ook de functionele domeinen HR, IT, Procurement, Communicatie & Strategie, Legal en Audit onderscheiden. De beheersing van de Nederlandse NS-organisatie is sterk gericht op financiële en operationele prestatieafspraken, aangeduid als Key Performance Indicators (KPI s), zoals afspraken over punctualiteit en veiligheid. Deze KPI s worden gevolgd via maandrapportages per bedrijfsonderdeel. De beheersmaatregelen worden gemonitord door de Auditcommissie en de RvC. De financiële sturing binnen de Nederlandse NS-organisatie is sterk geformaliseerd. Er is een SharePoint omgeving ingericht waarin alle geldende procedures en richtlijnen zijn opgenomen. De belangrijkste procedure is de reporting manual met daarin het gehele finance framework zoals: Planning- en control cyclus Verslaggevingsrichtlijnen Interne regels Administratieve Organisatie Rapportagetool Richtlijnen Business Plan, Budget en rapportages, belastingen en subsidiezaken, financiën, cash management, investeringen et cetera Op verzoek van directies worden door de afdeling Planning & Control onder andere de volgende rapportages aangeleverd: investeringsvoorstellen, kostprijsoverzichten, risico-inventarisaties, specifieke management rapportages, kasstroomoverzichten, kredietwaardigheidsonderzoeken, CAPEX / OPEXrapportages, KPI sturingsinformatie, life-cyclekostenrapportage en projectcalculaties. Het Ministerie van Financiën ontvangt per kwartaal een samenvatting van de NSrapportage. Het betreft een samenvatting van de belangrijkste gebeurtenissen in de operatie, ontwikkelingen hoofddoelstellingen, operationeel resultaat, prognose conform budget, investeringen en een balans met de financiële weergave. De hoofddoelstellingen betreffen klantoordeel, reizigerspunctualiteit, RepTrak en lost-time-injury-frequencyrate. In het hoofdstuk Belangrijkste gebeurtenissen in de operatie worden alle incidenten, verstoringen, nieuwe activiteiten, disciplinaire maatregelen, bedrijfsresultaat, prognose en investeringen weergegeven. NS bespreekt de highlights van de rapportage per kwartaal met het Ministerie van Financiën. Financiële rapportages aan RvC De RvC ontvangt per kwartaal rapportages van NS. Het betreft een uitgebreide rapportage waarin de volgende onderwerpen worden weergegeven: ontwikkeling hoofddoelstellingen, terugblik kwartaal, vooruitblik kwartaal, risk management, voortgang strategie, EBIT (Earnings Before Interest & Tax), investeringen, medewerkers, veiligheid, managementsamenvatting bedrijfsonderdelen en KPI overzicht. In de risk managementparagraaf worden de ontwikkelingen van belangrijke concernrisico s weergegeven en wordt aangegeven wat de speerpunten zijn voor het volgende kwartaal. De ontwikkelingen op het gebied van vaste bezetting, inhuur en ziekteverzuim worden nader toegelicht. Op het gebied van veiligheid wordt een toelichting gegeven over sociale veiligheid en spoorwegveiligheid. Pagina 25

27 Financiële rapportages aan ExCo 6.4 Analyse en verbeterpunten De bedrijfsonderdelen en staven van de Nederlandse NS-organisatie leveren maand- en kwartaalrapportages aan ten behoeve van de ExCo. Daarnaast wordt per kwartaal door het management van programma s en overige afdelingen rapportages aangeleverd. De kwartaalrapporten voor de ExCo bevatten dezelfde inhoud als de kwartaalrapporten die naar de RvC gaan. De maandrapporten bevatten een korte weergave van de bijzonderheden in de operatie, belangrijke niet financiële prestatie-indicatoren, taakstellingen en weergaven van de realisatie versus budget / prognose. De rapportage die naar de ExCo gaan worden door de afdeling Concern Planning & Control (hierna: CPC) vooraf geanalyseerd. Alle bijzonderheden en materiële financiële afwijkingen (> 1 miljoen) worden besproken met de CFO s van de bedrijfsonderdelen / afdelingsdirecteuren. Het bevoegdhedenreglement is een belangrijk stuk met betrekking tot de governance tussen het bestuur van de Nederlandse NS-organisatie en de directies van de bedrijfsonderdelen. Op dit moment is het directiereglement 2006 formeel nog geldend. Door de vorming van de ExCo en de integratie van de staven in het TOP-programma is de bestuurlijke realiteit van de Nederlandse NS-organisatie veranderd en het directiereglement 2006 verouderd. Actualisering van het directiereglement 2006 is vanuit de optiek van een transparante governance noodzakelijk. Wij bevelen aan een hoge prioriteit te geven aan het vastleggen van de huidige governance, zodat de verhouding tussen het bestuur, de ExCo en de bedrijfsonderdelen bij de Nederlandse NS-organisatie transparant is. De beheersing is sterk gericht op financiële en operationele prestatieafspraken, aangeduid als KPI s, zoals afspraken over punctualiteit en veiligheid. Gezien de ernstige integriteitsinbreuken die recent aan het licht zijn gekomen, verdient het aanbeveling om de beheersing eveneens specifiek in te richten op het voorkomen van integriteitsinbreuken. Dit kan bijvoorbeeld door KPI s op het gebied van integriteit af te spreken en integriteit als onderwerp mee te nemen in de maandelijkse rapportages. Door integriteit als specifiek onderwerp in de beheersing op te nemen, wordt het belang van het onderwerp in de governance van de Nederlandse NS-organisatie onderstreept. Pagina 26

28 7 Governance Abellio 7.1 Formele structuur Ten aanzien van Abellio opereert NS als aandeelhouder op afstand, zodat eventuele financiële aansprakelijkheden beperkt blijven tot de gestelde garanties en het geïnvesteerd vermogen. Abellio heeft een eigen directie met zelfstandige bevoegdheden. In de aansturing van de verschillende concessies is er geen sprake van onderlinge integratie van staven, zoals bij de Nederlandse NS-organisatie het geval is. Het verschil in aansturing tussen de Nederlandse NS-organisatie en Abellio leidt tot een verschillende GRC-organisatie. Hier zal in de volgende paragraaf meer specifiek op in worden gegaan. NS is aandeelhouder van Abellio Transport Holding BV (hierna: ATH). Tussen NS en ATH bestaat een aandeelhoudersbesluit. ATH, de Abellio landenorganisaties evenals de individuele concessies hebben eigen statutaire directies. 7.2 Verantwoording en toezicht De regelingen op het niveau van de Nederlandse NS-organisatie zijn niet (direct) van toepassing op ATH en haar dochterbedrijven, (andere) buitenlandse dochters en deelnemingen. Op het gebied van investeringsdrempels en mandatering zijn de regelingen bij NS via separate afspraken doorgezet naar de buitenlandse dochters. Via het aandeelhouderbesluit met betrekking tot Abellio van 15 oktober 2012 (hierna: aandeelhoudersbesluit Abellio) houdt NS toezicht op de belangrijke besluiten binnen Abellio. In het aandeelhoudersbesluit Abellio is geregeld dat voor de volgende zaken - boven een grensbedrag - goedkeuring vereist is (niet limitatief): het starten van juridische procedures, voor zover die niet gedeeld zijn met de Legal afdeling van NS afwijkingen van het standaard beloningsbeleid van NS openen nieuwe bankrekeningen aan- en verkoop van valuta- / interestcontracten (des)investeringen aangaan van leaseconstructies biedingen op concessies / business participatie in aandelenkapitaal starten van nieuwe en andere diensten afsluiten van omvangrijke inkoopcontracten samenwerkingsverbanden 7.3 Algemeen Aansturing en beheersing Net als bij de Nederlandse NS-organisatie stuurt de ExCo van NS Abellio aan via een goed ontwikkelde financiële rapportagestructuur en planning- en control cyclus, met dien verstande dat de ExCo ATH als aandeelhouder aanstuurt. De aansturing en beheersing vanuit de ExCo ziet dus niet direct toe op de individuele concessies. De verantwoordelijkheid van het aansturen van de operationele concessies in het Verenigd Koninkrijk en Duitsland ligt bij de landenorganisaties en de individuele OpCo s. De keuze voor aansturing op afstand is gemaakt vanuit beheersing van het financiële risico voor NS en haar aandeelhouder. Pagina 27

29 De achterliggende gedachte is dat de verplichtingen voor NS met betrekking tot ATH bij een aandeelhoudersrelatie op deze wijze beperkt blijven tot het geïnvesteerd vermogen in Abellio en garanties die gesteld zijn. Bij een optreden als feitelijk bestuurder van ATH zou NS aansprakelijk kunnen worden gehouden voor alle verplichtingen van ATH, hetgeen vanuit NS niet wenselijk wordt geacht. NS heeft geen 403 verklaring 4 afgegeven met betrekking tot ATH en haar dochterbedrijven. Tussen NS en ATH bestaat een aandeelhoudersbesluit, waarin staat aangegeven voor welke besluiten de directie van ATH goedkeuring moet verkrijgen van NS. De ExCo wordt geïnformeerd via een samenvatting van maandrapportages op het niveau van ATH. Deze rapportages zijn gericht op financiële en operationele KPI s. Volgens het aandeelhoudersbesluit Abellio moet ATH jaarlijks het business-, investerings- en financieringsplan ter goedkeuring voorleggen aan NS. Investeringsgrenzen zoals opgenomen in het Investeringsmanual zijn ook geldend voor Abellio en zijn gelijk aan de grenzen voor de Nederlandse bedrijfsonderdelen. Financieel en operationeel Evenals bij de Nederlandse NS-organisatie is de beheersing sterk gericht op financiële en operationele prestatieafspraken, aangeduid als KPI s, zoals afspraken over punctualiteit en veiligheid. Deze KPI s worden gevolgd via maandrapportages per OpCo. Zoals beschreven in hoofdstuk 6 ontvangt het Ministerie van Financiën en de RvC per kwartaal een NS-rapportage, waarin tevens Abellio is opgenomen. 4 Hoofdelijke aansprakelijkheidstelling voor de schulden van de dochter. ATH geeft instructies op de tussentijdse financiële en operationele rapportages. Deze instructies zijn gebaseerd op de NS-richtlijnen. ATH verstrekt deze instructies aan de verschillende landenorganisaties, die deze instructies weer verstrekken aan de OpCo s De diverse OpCo s rapporteren maandelijks aan de landenorganisatie die vervolgens aan ATH rapporteert. ATH ontvangt en beoordeelt de maandelijkse OpCo-boardrapportages en samenvattingen. De maandelijkse rapportages van de internationale OpCo s zijn omvangrijk en gedetailleerd. Dit geldt niet voor de maandrapportage van Qbuzz die veel minder gedetailleerd is. Zo bevatten diverse maandrapportages van de internationale OpCo s meer dan 200 pagina s, waar Qbuzz 7 pagina s beslaat. Bij de maandelijkse OpCo-boardmeetings is, naast de OpCo-directie, de landendirectie aanwezig. In sommige gevallen is ook een vertegenwoordiging van ATH bij deze vergadering aanwezig. ATH verstrekt per maand en per kwartaal een samenvattend overzicht van de prestaties aan NS. Deze rapporten worden besproken in het ExCo-overleg. In dit rapport worden de volgende onderwerpen behandeld: business development, operational en financial. Deze onderwerpen worden vervolgens verder uitgewerkt en toegelicht per land. Zo wordt bij business developments onder andere (lopende) offerteprocedures toegelicht. Bij operational performance worden de scores op PPM, NPS en Safety toegelicht, evenals sustainability. In de rapportage is ook een afzonderlijk onderdeel Risk overview opgenomen. Integriteit en onregelmatigheden zijn hierin niet als risico-onderwerpen vermeld. Integriteit De verantwoordelijkheid voor de beheersing van integriteitsrisico s en onregelmatigheden ligt bij de individuele OpCo s. Deze OpCo s hebben ieder hun eigen afdelingen inkoop, HR, juridische zaken, audit, compliance et cetera. Integriteitrisico s worden dus in de OpCo beheerst. De controlerend accountant merkt op dat de kwaliteit van financiële beheersing op de traditionele processen voldoende tot goed is. Pagina 28

30 Ten aanzien van aanstaande biedingen op concessies wordt de ExCo in overeenstemming met het aandeelhoudersbesluit Abellio geïnformeerd. ATH dient volgens het aandeelhoudersbesluit Abellio expliciet goedkeuring te verkrijgen van NS voor biedingen op concessies. In de relatie tussen NS en ATH is integriteit niet specifiek benoemd. Er is geen standaard ten aanzien van integriteit opgenomen in de aandeelhoudersovereenkomst of in de business plannen. Daarnaast is vanuit ATH naar de landenorganisaties en de landenorganisaties naar de individuele OpCo s geen standaard ten aanzien van integriteit gesteld. 7.4 Ontwikkeling Mede door het groeiend aantal concessies werkt Abellio op dit moment aan het herijken van het Abellio-governancemodel, waarbij specifiek aandacht bestaat voor de balans tussen beheersing van risico s via het stellen van eisen en het aansturen en beheersen op afstand. Zo wordt overwogen Audit & Risk Committees te introduceren die aan de Country Boards rapporteren en de effectiviteit van interne procedures, risicobeheersing, compliance en controlemaatregelen bewaken. De landenorganisaties in het Verenigd Koninkrijk en Duitsland hebben in de operatie en het biedingsproces expliciet aandacht voor het beheersen van risico s. 7.5 Analyse en verbeterpunten Vanuit risicobeheersing en het beperken van financiële aansprakelijkheden is het belangrijk de balans te houden tussen het bewaren van voldoende afstand en het voldoende in control zijn. Om voldoende in control te zijn ten aanzien van integriteitsrisico s adviseren wij om heldere eisen te stellen gericht op het beheersen van integriteitsrisico s aan Abellio. Deze eisen dienen in de businessplannen van Abellio opgenomen te worden en kunnen bijvoorbeeld in charters nader geconcretiseerd worden. Volgens het aandeelhoudersbesluit Abellio dient NS de businessplannen goed te keuren, waardoor zij kan afdwingen dat Abellio voldoet aan de standaard die NS ook aan haar Nederlandse activiteiten stelt. Denk hierbij aan: Kernwaarden Meldingen van incidenten Gifts & hospitality Awareness trainingen op specifieke onderwerpen (per jaar vaststellen) Daarnaast dienen deze standaarden ook een vast onderdeel uit te gaan maken van de maandelijkse rapportages van de OpCo s aan de landenorganisaties, als ook van de rapportages aan ATH en de ExCo. Hierdoor kan NS op deze onderwerpen sturen en toezicht houden. Pagina 29

31 8 Risk management In april 2014 heeft de RvC besloten dat een meerjarenstappenplan ontwikkeld diende te worden, dat erop gericht is risk management binnen NS naar een hoger plan te brengen en het bewustzijn te vergroten van het belang van risk management binnen alle lagen van de onderneming. 8.1 Verantwoordelijkheid De bedrijfsonderdelen en uiteindelijk de RvB van NS zijn verantwoordelijk voor de beheersing van de risico s. Ter ondersteuning hiervan bestaat een risk managementstructuur, op basis waarvan de monitoring en opvolging van risico s plaatsvindt. Het rapporteren over de risico s door de diverse bedrijfsonderdelen aan de RvB is integraal onderdeel van de planning- en control cyclus. De RvB rapporteert en legt verantwoording af over het systeem van risicobeheersing en interne controle aan de RvC na een bespreking daarvan in de Auditcommissie. Daarnaast beoordeelt de externe accountant de kwaliteit van financiële beheersing op de processen. De controlerend accountant heeft de kwaliteit van financiële beheersing op de traditionele processen als voldoende tot goed gekwalificeerd. 8.2 Organisatie Sinds 2004 is risk management per bedrijfsonderdeel ingevoerd. In 2012 is een plan opgesteld om de kwaliteit van het risk management binnen NS te verhogen. Hierbij is een aantal verbeteringen doorgevoerd, zoals de bepaling van een risicotolerantie tabel, een update van het risk managementbeleid en een risicoparagraaf in de jaarrekening. Tot een jaar geleden was het risk management onderdeel van de finance functie. In oktober 2014 is de verantwoordelijkheid voor risk management belegd bij de afdeling NS Risk & Audit. Tevens is een Chief Risk Officer (hierna: CRO) aangesteld met toegang tot de ExCo en RvC. Ook bij een aantal grotere programma s zijn risk managers aangesteld, zoals de materieelinvesteringsprogramma s, ERMTS. De directeur NS Risk & Audit is de verbindende schakel met de risk managers bij de bedrijfsonderdelen. Deze vallen hiërarchisch onder de financieel directeuren per bedrijfsonderdeel. Er ligt inmiddels een adviesaanvraag, waarbij de individuele riskmanagers onder aansturing van de afdeling NS Risk & Audit komen. De afdeling Risk management bestaat op dit moment uit twee fte s bij NS, dit is inclusief de CRO. Daarnaast werken binnen de verschillende bedrijfsonderdelen risk managers (totaal vijf fte s). De risk managers in de bedrijfsonderdelen zijn veelal tevens compliance officer (zie hoofdstuk 9). Binnen NS bestaat een Risk Committee bestaande uit de CFO van NS, de riskmanager en stafdirecteuren (audit, veiligheid, legal, communicatie, inkoop). Dit Risk Committee is sinds oktober 2014 niet meer bijeen gekomen. Als onderdeel van het nieuwe risk managementplan bekijkt NS de invulling van het Risk Committee. Binnen de ExCo worden regelmatig de concernrisico s besproken. 8.3 Taken en werkwijze Bij de verschillende bedrijfsonderdelen van NS vinden risk assessments plaats op de belangrijkste projecten en processen. De risk managers hebben hierbij een faciliterende rol. Uit de risk assessments worden risico s verzameld en gecategoriseerd in strategische, operationele, financiële en compliance risico s. Op NS-niveau is een risicotolerantietabel aanwezig. Tot in 2014 werd integriteit niet als specifiek risico onderkend. Pagina 30

32 De start van de identificatie van risico s vindt plaats in het businessplanproces. Per kwartaal vindt een update van de status van de beheersing van de risico s en eventuele mutaties plaats. De risico s vormen een periodiek onderwerp in de directie-overleggen van de bedrijfsonderdelen. NS legt de risico s vast in een risicoregister. Elk kwartaal worden de risico s per bedrijfsonderdeel gerapporteerd en besproken in de ExCo als onderdeel van de planning- en control cyclus. In de ExCo worden de concernrisico s vastgesteld, geëvalueerd en geüpdatet. Op basis van de diverse risico-inventarisaties stelt de CRO een lijst van concernrisico s op. De CRO faciliteert de bespreking van de concernrisico s door de ExCo. De afdeling CPC beoordeelt investeringsvoorstellen en voorziet deze van een risicoparagraaf en advies aan de ExCo. Ook de afdeling NS Legal adviseert bij investeringsvoorstellen. 8.4 Risico rapportering en opvolging Bij de businessplannen is een risicoparagraaf toegevoegd. In maand- en kwartaalrapportages rapporteren de bedrijfsonderdelen over hun risico s. Op kwartaalbasis stelt CRO een concernriskrapportage op met daarin een update van de concernrisico s. Verder bevatten investeringsvoorstellen een risicoparagraaf en een separaat riskadvies. Het management is verantwoordelijk voor het opvolgen van geconstateerde risico s die buiten de acceptabele grens vallen. In maand- en kwartaalrapportages vindt rapportering plaats over de follow-up van uitstaande risico s. 8.5 Ontwikkelingen In 2012 is een plan opgesteld om de kwaliteit van risk management te verhogen. Weliswaar zijn stappen voorwaarts gezet, maar toch is de progressie tot 2014 beperkt. De RvC en de ExCo zijn van mening dat best in class risk management noodzakelijk is om de NS-strategie te realiseren en de bedrijfscontinuïteit te waarborgen. Hiervoor hebben de voorzitter van de RvC en de CFO van NS medio 2014 een visie op risk management ontwikkeld en een plan gemaakt om hiertoe te komen. Deze zijn besproken in de Auditcommissie. Hierna is in oktober 2014 door de RvB besloten dat een nieuwe, meer professionele risk management aanpak in samenwerking met de RvC tot stand zal komen. Er is een CRO benoemd om Risk management vanuit de afdeling NS Risk & Audit op te zetten. Vanuit deze afdeling zal ook de coördinatie van de activiteiten van de risk managers uit de bedrijfsonderdelen gaan plaatsvinden. De RvC heeft eind 2014 de opzet en werking van het huidige risk managementsysteem van NS laten onderzoeken. De conclusie was dat bij NS een rudimentair systeem van risk management aanwezig is dat vooral gericht is op operationele- en veiligheidsrisico s. Verder concludeert dit onderzoek dat in het huidige risk managementsysteem onvoldoende sprake is van een brede, geïntegreerde aanpak bij het managen van de risico s waaraan het als openbaar vervoersbedrijf mee te maken heeft. Zoals ook blijkt uit de risicomatrix in de jaarrekening van NS is het risico op integriteitsaspecten niet expliciet benoemd als strategisch risico. Aangezien NS werkt aan een verbetering van het huidige systeem, zal hieronder specifiek worden ingegaan op de opzet van het gewenste systeem, de stappen die al zijn ondernomen ter implementatie en het tempo waarin deze stappen worden gezet. Pagina 31

33 8.6 Risk managementtransitie Om een blauwdruk te ontwikkelen voor risk management bij NS in 2017 heeft Oliver Wyman een Risk Framework opgesteld dat beschrijft welke onderdelen de organisatie ingericht en op orde moet hebben. Op basis van het advies van Oliver Wyman heeft NS een risk managementplan opgesteld. Dit risk managementplan is besproken en goedgekeurd door de Auditcommissie. In het risk managementplan is een aantal doelstellingen geformuleerd, waarbij als eerste stap de risk appetite per risico moet worden vastgesteld. Voor de ontwikkeling en invoering van een best in class risk managementsysteem is een 2-jarenplan opgesteld. Op 2 juli 2015 is een risk appetite sessie gehouden waarbij de risicobereidheid van de ExCo is besproken op acht belangrijke aspecten van de bedrijfsvoering, waaronder ethiek en compliance. De risk appetite statements zijn verder uitgewerkt en in augustus op de agenda van de RvC ter goedkeuring opgenomen. Naar aanleiding van bespreking in de vergadering van de Auditcommissie van 11 augustus 2015 is het onderwerp van de agenda van de RvC gehaald, omdat het geheel van risk appetite en risicotolerantie meer concreet in kaart gebracht moet worden. 8.7 Analyse en verbeterpunten Uit bovenstaande kan worden afgeleid dat na het opgestelde actieplan in 2012 risk management binnen NS de RvC en de CFO medio 2014 actie hebben genomen en een plan hebben opgesteld om risk management best in class te maken. Verder is het belang van Integriteit als specifiek thema in 2015 expliciet door de top van NS onderkend. Op aspecten is het risk management beter ontwikkeld, vooral op het gebied van het beheersen van veiligheidsaspecten en operationele aspecten. Zoals blijkt uit de risicomatrix van NS was het risico op integriteitsaspecten in 2014 niet expliciet benoemd als strategisch risico. Dit is inmiddels wel het geval. Figuur 8.1: Bron: Oliver Wyman rapportage 2014 Op dit moment is het risk managementsysteem binnen NS nog niet op het gestelde ambitieniveau best in class, noch op het gewenste niveau passend bij het risicoprofiel van NS. Een verdere integratie en integrale aansturing is nodig. Pagina 32

34 Verder dienen de concernstaven expliciet en meer zichtbaar door Risk Management in het proces van risico-identificatie te worden betrokken. De huidige kanteling van de organisatie maakt dit nog urgenter, omdat diverse staffuncties uit de bedrijfsonderdelen worden gehaald. Hierdoor bestaat het risico dat de riskmanagers van de bedrijfsonderdelen minder zicht hebben op de staffuncties. Ondanks dat in 2012 een stap is gezet in het ontwikkelen van het risk managementplan is de eerste stap in dit risk managementplan, zijnde het vaststellen van de risk appetite en risicotolerantie, nog niet afgerond. Sinds 2012 zijn verschillende acties gepland, maar relatief weinig voortgang geboekt en weinig tastbare resultaten zichtbaar. Het is dus belangrijk dat de prioriteitstelling verder wordt verhoogd en dat actiever invulling wordt gegeven aan het risk managementplan. De risk appetite bepaalt mede het niveau aan GRC maatregelen die nodig zijn, om binnen de risicotolerantie te blijven. Een lagere risk appetite en tolerantie vergt meer inzet van de afdeling Risk management. Gezien het profiel van NS (hoofdstuk 3) dient zij te beschikken over een volwassen en geïntegreerd risk managementsysteem. Het eind 2014 geïntroduceerde Risk Framework van Oliver Wyman biedt een goede basis voor de vereiste verdere invulling van het risk managementsysteem van NS. Pagina 33

35 9 Ethics & Compliance 9.1 Verantwoordelijkheid De RvB van NS is eindverantwoordelijk voor ethiek en compliance. De RvC houdt hier toezicht op. De stafdirecteur NS Legal vervult de taak van hoofd van de functie Ethics & Compliance en is tevens de compliance officer van NS. Het hoofd van de functie Ethics & Compliance rapporteert hiërarchisch aan de CFO met een aanvullende functionele lijn aan de NS-directie. De verantwoordelijkheid voor een goede beheersing van compliance risico s ligt bij het lijnmanagement en bij de concernstaven. 9.2 Organisatie Eind 2012 is een separate functie Ethics & Compliance opgezet naar aanleiding van de noodzaak om NS compliant te maken met de UK Bribery Act en de hedendaagse standaarden van good governance. De basis voor ethiek en compliance binnen NS is vastgelegd in een Ethics & Compliance Charter van januari Deze definieert compliance als de naleving van (toezicht) wet- en regelgeving en interne gedragsregels van NS op het gebied van integere bedrijfsvoering. Alle bedrijfsonderdelen en overige aan NS verbonden instellingen waarover NS zeggenschap heeft, zijn in scope van de functie Ethics & Compliance. Zoals vermeld in hoofdstuk 7 is de Charter niet (direct) van toepassing op Abellio en (andere) buitenlandse dochters en deelnemingen. Het onderwerp ethiek en compliance is geen vaststaand onderwerp op de agenda van de ExCo, RvC of Auditcommissie. Het thema ethiek en compliance staat één maal expliciet op de ExCo agenda, dit bij de start van de functie Ethics & Compliance in januari Overigens zijn in de periode 2013 tot en met augustus 2015 in de ExCo circa 10 maal compliance gerelateerde onderwerpen behandeld, waaronder de gedragscode, naleving bescherming persoonsgegevens, markt & gedrag en vertrouwelijke informatie. Elk bedrijfsonderdeel en de concernstaven van de Nederlandse NS-organisatie evenals Abellio heeft een compliance officer aangesteld. Deze functie is slechts belegd als neventaak van een riskmanager of een jurist. De functie Ethics & Compliance bestaat uit acht compliance officers onder leiding van het hoofd functie Ethics & Compliance (tevens directeur NS Legal). Zoals hiervoor beschreven is de compliance officer slechts een neventaak van de riskmanager of van een juridische medewerker. De functie Ethics & Compliance omvat 2,6 fte, waaronder zeven compliance officers. 9.3 Taken en werkwijze De belangrijkste taken van de functie Ethics & Compliance volgens haar Charter zijn: In samenwerking met het lijnmanagement compliance risico s te identificeren, te beoordelen en de beheersing van compliance risico s te monitoren De NS-directie en het lijnmanagement bij te staan en te adviseren over de wijze om compliance risico s te beheersen De NS-medewerkers te informeren en adviseren over compliance ter bevordering van integer gedrag Ieder kwartaal komen alle compliance officers bijeen om voortgang jaarplan en compliance issues & regulatory events te bespreken. In de gedragscode 2015 van de Nederlandse NS-organisatie is opgenomen dat issues op het gebied van bedrijfsethiek bij je leidinggevende of bij de compliance officer gemeld kunnen worden. Pagina 34

36 In haar jaarplannen benoemt de functie Ethics & Compliance specifieke aandachtsgebieden. Bij de start van de functie Ethics & Compliance is besloten per kwartaal te rapporteren aan de portefeuillehouder; de CFO van NS. In deze kwartaalrapporten wordt de voortgang van de uitvoering van het jaarplan beschreven. Daarnaast besteedt het kwartaalrapport aandacht aan potentiele compliance issues & regulatory events. In 2014 is besloten de kwartaalrapportages in deze vorm te beëindigen. Deze kwartaalrapportages zijn vervangen door een jaarlijks verslag van activiteiten en tussentijds melding aan CFO van NS van relevante potentiele compliance issues & regulatory events. Uit de jaaroverzichten van 2013 en 2014 is te lezen dat de belangrijkste doelstellingen voor dat jaar zijn behaald, te weten: Uitrol van het beleid tegen omkoping en corruptie (2013) Verhoging van de bewustwording met behulp van e-learning, live-training voor specifieke doelgroepen (risk-based) en doorlopende communicatie via diverse media (2013) De functie Ethics & Compliance heeft geadviseerd bij aanpassing van de NS- Gedragscode (2013) Bijdrage aan de introductie van de NS-Supplier Gedragscode (2014) Training & bewustwording ter implementatie van het NS-beleid tegen omkoping en corruptie (2014) Bijdrage aan de voorbereiding van de uitrol van de nieuwe NS Gedragscode (2014) In-house training van de NS compliance officers (2014) Verder bevatten de jaaroverzichten subdoelstellingen, waarvoor de verantwoordelijkheid ligt bij bedrijfsonderdelen of bij de functie Ethics & Compliance. Deze subdoelstelling zij veelal slechts deels of niet gerealiseerd. 9.4 Meldingen In de gedragscode 2015 is de mogelijkheid opgenomen om issues op het gebied van bedrijfsethiek bij de functie Ethics & Compliance te melden. Naast deze mogelijkheid bestaan binnen NS diverse procedures en regelingen om incidenten en / of ongewenste situaties te melden, te weten: Gedragscode 2015 Klokkenluidersregeling Business Control Incidents (BCI meldingen) Fraudebeleid Veilig omgaan met informatie Klachtenregeling Daarnaast bestaan mogelijkheden voor het melden van: ongewenst gedrag (een vermoeden van) een overtreding (sociale- en Arbo)veiligheidsincidenten alcohol en drugsgebruik overtreden van privacy regels Op basis van de situatie dient de medewerker te bepalen welke regeling geldt. De verschillende regelingen schrijven verschillende personen voor om te melden: bij je leidinggevende bij een vertrouwenspersoon bij de compliance officer bij de klachtencommissie bij je riskmanager bij NS Risk in het systeem RailPocket in het systeem Alert / Maximo Pagina 35

37 9.5 Ontwikkeling 9.6 Analyse en verbeterpunten In het kader van een constructieve dialoog met stakeholders beschrijft het jaarverslag 18 materiële thema s voor de stakeholders. Integriteit is hierin opgenomen als thema met een middelgrote prioriteit voor de stakeholders en een hoge impact voor NS. Verder is in het Jaarverslag 2014 een systeem van risico-identificatie en -beheersing ingevoerd, waarbij het thema Integriteit niet als één van de 12 concernrisico s is opgenomen. Ondertussen is integriteit expliciet als risico geïdentificeerd in de rapportages van Risk Management. In het rapport realisatie jaarplan van 2013 is beschreven dat de Ethics & Compliance functie nog kwetsbaar is. De interne zelf-evaluatie in 2015 van de functie Ethics & Compliance stelt tevens dat de functie versterkt moet worden. Dit mede door de prioriteitstelling in de lijnorganisatie voor andere taken. In 2014 beschrijft het rapport realisatie jaarplan dat knelpunten in de prioriteitstelling ontstaan, doordat compliance officers hun taken moeten combineren met hun reguliere werkzaamheden als jurist of riskmanager. Verder is aangegeven dat de Ethics & Compliance functie versterkt moet worden. De compliance officers hebben aangegeven dat zij vanwege de prioriteitstelling van hun bedrijfsonderdeel vaak onvoldoende toekomen aan ethiek en compliance taken. Verder blijkt uit de enquête dat de rol van de compliance officer in de organisatie niet helder is. Uit bovenstaande blijkt dat de functie Ethics & Compliance in 2013 voortvarend is gestart, maar dat deze nog kwetsbaar is. Deze kwetsbaarheid wordt mede veroorzaakt door de prioriteitstelling in de lijnorganisatie, waar het belang van ethiek en compliance onvoldoende werd onderkend. Prioriteitstelling ethiek en compliance Ethics & compliance is geen vaststaand onderwerp op de agenda van de ExCo en het rapporteren over ethics & compliance is geen integraal onderdeel van de planning- en control cyclus. Hierdoor wordt de ExCo niet structureel geïnformeerd over ethics en compliance. Het belang van ethics & compliance werd onvoldoende onderkend. De prioriteitstelling dient verhoogd te worden en de verantwoordelijkheid dient hoger in de organisatie te worden belegd; tone at the top is immers cruciaal voor het goed werken van ethics en compliance. Ondertussen heeft NS bekend gemaakt een bestuurder aan te stellen met als specifieke verantwoordelijkheid GRC. Compliance officer De functie compliance officer is slechts een neventaak van de riskmanager of de juridisch medewerker. De functie Ethics & Compliance omvat in totaal 2,6 fte voor de gehele NS-organisatie. Daarnaast zijn compliance activiteiten binnen de OpCo s gefragmenteerd belegd bij verschillende afdelingen, zoals HR, Audit, Legal et cetera. Voor veel compliance officers is compliance slechts 10% van hun takenpakket. Daarnaast geven zij aan dat vanwege de prioriteitstelling van het bedrijfsonderdeel nauwelijks toekomen aan hun taak. Momenteel is compliance een sub activiteit voor de betreffende medewerkers, waar dit naar onze mening een hoofdactiviteit zou moeten zijn. Pagina 36

38 Voor de organisatie is de rol van de Compliance officer onvoldoende helder. Gezien het profiel van NS is de capaciteit van de functie Ethics & Compliance op dit moment onvoldoende. Verder dient de rol en het belang van de compliance officer duidelijker gemaakt te worden in de organisatie. Melden incidenten Op dit moment bestaan er veel regels en mogelijkheden om misstanden en incidenten te melden. Het beleid, de regels als ook waar te melden is gefragmenteerd. Hierdoor bestaat het risico dat misstanden / incidenten niet worden gemeld, doordat niet duidelijk is waar deze gemeld dienen te worden. Tevens maakt elke ontvanger van een melding een eigen afweging voor eventuele vervolgacties. Hierdoor bestaat een verhoogd risico op niet consistent handhaven en het risico dat geen volledig inzicht bestaat in de gemelde incidenten. Wij bevelen daarom aan om medewerkers bewust te maken van de verschillende mogelijkheden om meldingen te doen. Om meldingen consistent te behandelen en de voortgang goed te kunnen volgen, is het nuttig om een digitaal voorportaal te creëren voor de diverse meldingen. Hierdoor wordt willekeur in handhaving, bijvoorbeeld het al dan niet doormelden voorkomen. Beheersing en verantwoording De compliance officer van Abellio maakt onderdeel uit van de functie Ethics & Compliance van NS. De OpCo s van Abellio hebben eigen beheersmaatregelen op het gebied van ethiek en compliance. Wij bevelen aan om een standaard vast te stellen waaraan het beleid van de bedrijven, inclusief Abellio en haar dochterondernemingen, dient te voldoen op het gebied van ethiek en compliance. Daarnaast bevelen wij aan om KPI s op te stellen, waarover structureel wordt gerapporteerd. Wij bevelen aan het rapporteren door de diverse bedrijfsonderdelen integraal onderdeel van de planning- en control cyclus te laten zijn. Denk aan de volgende onderwerpen waarover gerapporteerd kan worden: Afwijkingen inhuurdesk Afwijkingen aanbesteding Mogelijke privacy-issues Gifts & Hospitality register Screening: welke nieuwe medewerkers wel / niet Pagina 37

39 10 Audit Internal audit is in het verleden binnen NS gestart als een afdeling gericht op het uitvoeren van financial audits. In 2005 is besloten om financial en operational audit strikt te scheiden en verricht de afdeling NS Risk & Audit alleen nog operational audits. Sinds 2011 verricht NS Risk & Audit ook audits op Abellio. In het concept auditplan voor 2016 is beschreven dat Internal audit zich zowel op operationele als op financiële processen zal richten Verantwoordelijkheid Het management is verantwoordelijk voor de besturing van de bedrijfsprocessen en de inrichting van de interne controleprocessen binnen hun verantwoordelijkheidsgebieden. NS Risk & Audit is verantwoordelijk voor het leveren van een bijdrage aan de beoordeling van de mate waarin NS haar bedrijfsvoering beheerst. NS Risk & Audit doet aanbevelingen ter verbetering hiervan. NS Risk & Audit verschaft hiermee aanvullende zekerheid aan het management, de RvB en de Auditcommissie. De taakopdracht van NS Risk & Audit is vastgelegd in een Audit Charter. Dit Charter was enigszins verouderd, maar is gedurende onze werkzaamheden aangepast. Hierdoor is thans de veranderde opzet met risk management als onderdeel van de afdeling NS Risk & Audit opgenomen in het Audit Charter van de Nederlandse NS-organisatie. Abellio heeft een eigen Audit Charter. Zoals hierboven aangegeven verricht NS Risk & Audit sinds 2011 ook audits op Abellio. In het Audit Charter van Abellio is vastgelegd dat NS Risk & Audit geen directe rol heeft bij de joint ventures met Serco. Op onderdelen is sprake van afwijkende bewoordingen in het Audit Charter van NS versus de Audit Charter van Abellio. In het Charter van Abellio staat vermeld dat NS Risk & Audit wordt ingehuurd door Abellio en dat Abellio het auditplan samenstelt. In de NS Charter is opgenomen dat NS Risk & Audit verantwoordelijk is voor het opstellen van het audit (jaar)plan. Daarnaast is de tekst van het Audit Charter van Abellio niet geactualiseerd; zo verwijst onderdeel drie bijvoorbeeld naar de Auditcommissie van Abellio die het auditplan dient te autoriseren. Echter, Abellio heeft sinds begin 2013 geen Auditcommissie meer. De audits van Abellio zijn nu opgenomen in het auditplan 2015 van NS dat door ExCo en Auditcommissie is vastgesteld. NS Risk & Audit vervult sinds 2011 tevens de auditfunctie voor NS Insurance. DNB eist dat NS Insurance voldoet aan de Code Verzekeraars. Deze code vereist onder andere dat iedere verzekeraar een eigen interne auditfunctie heeft die onafhankelijke audits uitvoert op de governance, het risicobeheer en de beheersprocessen. Deze onafhankelijke invulling van de interne auditfunctie wordt formeel vastgelegd in een Audit Charter. Dit was voor NS Insurance niet aanwezig, maar ondertussen is een Audit Charter voor NS Insurance opgesteld. Dit Charter zal tijdens de RvC-vergadering worden behandeld Organisatie NS Risk & Audit De auditfunctie is duidelijk gepositioneerd binnen de gehele organisatie. Opdrachtgever van NS Risk & Audit is de RvB. De RvC wordt geïnformeerd via de Auditcommissie vergaderingen en heeft inspraakrecht. Indien nodig worden vanuit de RvC acties geïnitieerd richting de RvB. NS Risk & Audit is hiërarchisch gepositioneerd onder de RvB van NS. Functioneel rapporteert NS Risk & Audit aan de RvB. NS Risk & Audit heeft naast de lijn richting CFO, directe communicatielijnen naar de CEO van NS en de voorzitter van de Auditcommissie. Benoeming of ontslag van de directeur van NS Risk & Audit vindt plaats door de bestuurder van de organisatie. Pagina 38

40 In 2014 is binnen NS gesproken over het terugbrengen van aantal internal auditors met 50% en hiermee ook het aantal interne audits. Vooralsnog is hier geen uitvoering aan gegeven en is de afdeling op dezelfde sterkte gebleven; 14 FTE, waarvan 2 FTE voor Abellio. Voor Abellio heeft NS Risk & Audit thans een jaarbudget van (dit was ). Dit budget is exclusief de capaciteit binnen Abellio (7 FTE). Voor 2016 is een geïntegreerd auditplan voor Abellio afgesproken, waarin deze additionele capaciteit is meegenomen. De vraag is of de capaciteit en het budget past bij de omvang van de activiteiten van Abellio en het risicoprofiel van Abellio Taken en werkwijze NS Risk & Audit voert operational audits, IT audits, reviewopdrachten en adviesopdrachten uit. Alle audits en reviews leiden tot bevindingen met aanbevelingen. Deze worden via een systeem van audit issuetracking opgevolgd. Hierover wordt de ExCo en de Auditcommissie geïnformeerd. Basis voor de werkwijze is het manual NS Risk & Audit. De auditfunctie is sinds 2009 gecertificeerd door het Instituut van Internal Auditors. In 2014 heeft een hercertificering plaatsgevonden. NS Risk & Audit werkt vanuit een audit jaarplan, dat tot stand komt op basis van een risico assessment, zodat de focus op de kritische processen en projecten ligt. Hiervoor haalt NS Risk & Audit input vanuit de bedrijfsonderdelen. De stafdirecteur NS Risk & Audit legt het jaarplan ter goedkeuring voor aan de ExCo en de Auditcommissie. Met de Auditcommissie vindt een bespreking van het auditplan plaats. NS Risk & Audit verricht geen review van het integrale control framework bij bedrijfsonderdelen. De audits zijn gericht op deelonderwerpen en operationele processen, bijvoorbeeld Safety, hetgeen onderdelen zijn van het control framework. NS Risk & Audit heeft toegelicht dat dit aansluit op de huidige taakomschrijving van zijn afdeling: operational audits, met een risico gebaseerde aanpak Rapportages en opvolging Tweemaal per jaar presenteert de stafdirecteur NS Risk & Audit het halfjaarrapport NS Risk & Audit aan de Auditcommissie. Onderwerpen hierin zijn verslag van de activiteiten van NS Risk & Audit, de audits met een onvoldoende beoordeling, de opvolging van auditaanbevelingen en alle andere zaken die van belang zijn om hen te informeren. Indien dat noodzakelijk wordt gevonden, verzoekt de Auditcommissie aan de RvB om verdere stappen te nemen. Dit is de laatste maal in augustus 2014 gebeurd op het gebied van informatiebeveiliging en cybersecurity in de IT omgeving. Vanuit de audit issuetracking toetst NS Risk & Audit periodiek of aanbevelingen tijdig worden opgevolgd. Indien noodzakelijk wordt gerappelleerd of een vervolgaudit op risicovolle aspecten gepland Analyse en verbeterpunten Op basis van onze analyse blijkt dat NS Risk & Audit duidelijk gepositioneerd is binnen de organisatie. De volgende verbeterpunten bevelen wij aan: 1. Het Audit Charter van Abellio en van de Nederlandse NS-organisatie zijn inconsistent, waardoor NS en Abellio verschillend dachten over de rol van NS Risk & Audit bij Abellio. De Audit Charters van NS en Abellio dienen te worden geactualiseerd en op elkaar afgestemd. De Audit Charter NS is ondertussen aangepast en in oktober besproken met de CFO, deze aangepaste Charter vormt de basis voor het aanpassen van de Audit Charter Abellio. Pagina 39

41 2. NS Insurance heeft geen eigen Audit Charter. DNB eist dat NS Insurance voldoet aan de Code Verzekeraars. Deze code vereist een eigen interne onafhankelijke auditfunctie. In het Audit Charter wordt deze onafhankelijkheid formeel vastgelegd. NS Insurance had geen separate Audit Charter. NS heeft dit adviespunt opgepakt en ondertussen een separate Audit Charter voor NS Insurance opgesteld. 3. Gezien het ontbreken van een directe rol van NS Risk & Audit bij joint ventures dient het auditplan zodanig te worden ingericht dat jaarlijks de minimale beheersingsmaatregelen van de relevante joint ventures in een review worden betrokken. Momenteel is dit niet een vanzelfsprekendheid. NS Risk & Audit erkent dat het auditplan 2016 hierop aangepast dient te worden. 4. In 2014 heeft NS besloten om het aantal auditors met 50% terug te brengen en hiermee dus het aantal audits. Gezien de toename van het aantal internationale concessies en het herijkte risico profiel is een herijking van de benodigde capaciteit gepast. NS Risk & Audit heeft in haar 1 e halfjaarverslag 2015 de wens uitgesproken haar bezetting weer te brengen naar het niveau van Deze uitbreiding van de bezetting is in de ExCo van juli 2015 en de Auditcommissie van augustus 2015 besproken. 5. De verhouding tussen de inzet en het budget van NS Risk & Audit op de Nederlandse bedrijfsonderdelen en op Abellio lijkt onevenwichtig. Van de 14 medewerkers zijn twee medewerkers werkzaam voor Abellio. Dit is exclusief de 7 audit FTE binnen Abellio. Het verdient aanbeveling auditwerkzaamheden op geïdentificeerde key-risks consistent over de verschillende bedrijfsonderdelen uit te voeren. Pagina 40

42 DEEL D Pagina 41

43 11 Integriteitscultuur NS 11.1 Introductie Om niet-integer-gedrag en onregelmatigheden te voorkomen en gewenst gedrag te stimuleren is zowel de structuur als de cultuur van de organisatie belangrijk. Consistentie in structuur en cultuur werkt versterkend (zie hoofdstuk 3). In de hoofdstukken vijf tot en met tien is aandacht besteed aan de Governance, Risk Management, Compliance en Audit (structuur). In dit hoofdstuk volgt een overzicht van de bevindingen en de aanbevelingen van de cultuur van NS. Wij constateerden dat structurele verbeteringen nodig zijn op alle onderdelen van GRC. Om risico s adequaat te kunnen beheersen, is ook de cultuur belangrijk. De organisatiecultuur wordt vaak aangeduid als het fundament op basis waarvan regels, procedures en protocollen worden nageleefd. Cultuur is dus een belangrijk onderdeel van de gehele beheersingsomgeving. Een goed evenwicht tussen structuur, regels en cultuur is van wezenlijk belang. De cultuur van een organisatie is belangrijk voor een effectieve beheersing, omdat zij mede het integriteitsbewustzijn versterkt. Zoals beschreven in hoofdstuk 3 is NS actief in verschillende landen in Europa met verschillende activiteiten. De Nederlandse organisatie is verdeeld in verschillende bedrijfsonderdelen, met elk een andere achtergrond. De OpCo s die de buitenlandse concessies uitvoeren zijn feitelijk telkens zelfstandige bedrijven. Van een uniforme cultuur kan dan ook geen sprake zijn. Sterker nog, ongewenst gedrag kan soms per land verschillen. Om dit goed te kunnen meten, hebben wij medewerkers van elk niveau uit verschillende bedrijfsonderdelen, staven, landen en activiteiten betrokken in de analyse. Hun beeld van de gang van zaken binnen de organisatie is bepalend voor de cultuur. Wij hebben hiertoe: Ruim 160 gesprekken met medewerkers van NS gevoerd Een vragenlijst verstrekt aan circa medewerkers en ongeveer vragenlijst retour ontvangen (specifiek gericht op cultuur aspecten) In de vragenlijst zijn aan medewerkers vragen gesteld op een achttal thema s, te weten: helderheid, voorbeeldgedrag, betrokkenheid, uitvoerbaarheid, transparantie, bespreekbaarheid, comfort om te melden en handhaving. Dit betreffen algemeen aanvaarde thema s om cultuur binnen een organisatie te duiden. Hierdoor ontstaat inzicht in de werking van regelgeving en van beheersingsmaatregelen. Door het beoordelen en meten van deze voornoemde thema s wordt het gedrag en de communicatie van de medewerkers in de organisatie zichtbaar en ontstaat inzicht in de bedrijfscultuur. Het meten van een effectieve werking van regels, codes en procedures is belangrijk. Is er sprake van een goede tone at the top? Weten medewerkers wat wanneer geregistreerd moet worden in het gifts & hospitality register? Werkt de gedragscode? Pagina 42

44 11.2 Algemeen De kern Op basis van de ruim 160 gesprekken en ongeveer respondenten kunnen twee heldere conclusies worden getrokken: Verschillende aandachtspunten en verbeterpunten zijn geïdentificeerd om de cultuur te versterken, zoals: het verbeteren voorbeeldgedrag en aanspreken op afwijkend gedrag. Uit de enquête blijkt in algemene zin dat medewerkers betrokken zijn en veel vertrouwen hebben in hun collegae. Er is sprake van een open werkcultuur, waarin medewerkers elkaar kunnen aanspreken op ongewenst gedrag. De meerderheid van de medewerkers heeft aangegeven de leidinggevende te kunnen benaderen met vragen over integriteit. Overzicht bevindingen Niet één cultuur Op integriteitsgebied is sprake van verschillende culturen in de verschillende bedrijfsonderdelen en landen. Er lopen verschillende initiatieven om meer eenheid tussen de bedrijfsonderdelen te realiseren. Deze initiatieven worden echter niet door de gehele organisatie in gelijke mate ondersteund. Zo hebben diverse bedrijfsonderdelen hun eigen gedragscode, een meer op hun specifieke situatie toegespitste gedragscode. Bij het realiseren van een meer gezamenlijk gedeelde integriteitscultuur, is het van belang dat binnen NS de noodzaak van betere interne samenwerking een breed draagvlak krijgt. Het verdient aanbeveling om deze gezamenlijke integriteitscultuur in de gehele organisatie te blijven stimuleren. Zo bestaat op dit moment geen Code of Ethics. De basis voor het handelen van medewerkers wordt gevormd door de waarden en de drie E s: Eenheid, Eenvoud en Eigenaarschap. Binnen Qbuzz valt het op dat veel minder een cultuur bestaat waar men zich vrij voelt om elkaar aan te spreken op niet integer of onaanvaardbaar gedrag. Bij Qbuzz voelen 162 van de 202 in de enquête betrokken medewerkers zich niet vrij elkaar hierop aan te spreken. Bij ScotRail valt juist op dat men minder bij de leidinggevende terecht kan met integriteitsissues; 69 van de 132 in de enquête betrokken medewerkers geeft aan de leidinggevende niet te kunnen benaderen met vragen over integriteit. Binnen Abellio geldt dat elke concessie in wezen een eigen zelfstandig bedrijf is. In elk bedrijf verschillen de vereisten, de regionale omstandigheden en bedrijfsmatige mogelijkheden per concessie. Als gevolg daarvan kent ieder concessiegebied een eigen cultuur. Iedere concessie voldoet op deze wijze aan haar eigen verplichtingen vanuit regelgeving, de concessievoorwaarden en de gedragsregels die worden uitgedragen vanuit the Abellio Way. Hoewel Abellio binnen elke individuele concessie aandacht heeft voor het voorkomen van nietinteger-gedrag, is geen sprake van een formeel bepaalde standaard op integriteit. Vanuit het oogpunt van beheersing en verantwoording verdient het aanbeveling om ten aanzien van integriteitsaspecten expliciet een standaard op te nemen, zodat op dit gebied een gedeelde cultuur kan groeien. Veelheid aan regels Uit de analyse blijkt dat er een grote veelheid aan regels is, maar veel regels zijn onbekend bij medewerkers. Tevens hebben wij geconstateerd dat verouderde regels ook nog vindbaar blijven, terwijl nieuwe versies beschikbaar zijn, die de oude vervangen. Uit de analyse blijkt duidelijk dat veel regels bij medewerkers onbekend zijn. Pagina 43

45 In zowel binnen- als buitenland zijn medewerkers slechts beperkt bekend met relevante regels om integriteitsrisico s te beheersen. In Nederland is de Gedragscode bekend bij 56% van de in de enquête betrokken medewerkers, buiten Nederland is dit percentage 51%. De bekendheid van overige regels is veel beperkter. In Nederland is 16% van de in de enquête betrokken medewerkers bekend met de klokkenluidersregeling, 10% met Beleid Omkoping en Corruptie, 12% met privacybeleid en 12% met het gifts & hospitality register. In het buitenland is de bekendheid met deze regels respectievelijk 37%, 38%, 36% en 32%. Binnen de organisatie valt het op dat er een enorme veelheid en diversiteit aan regels bestaat (hard controls). Voor medewerkers is het een uitdaging om alle regels te kennen en adequaat toe te passen. Maar ook als regels wel bij medewerkers bekend zijn, is het niet vanzelfsprekend dat men weet wat men (niet) moet doen. Een sprekend voorbeeld is het gifts & hospitality register. Ondanks een organisatie breed bewustwordingsprogramma, wordt het registreren van giften niet consistent toegepast. Medewerkers tasten in het duister Ondanks de veelheid aan regels, richtlijnen, protocollen et cetera, blijkt uit interviews dat het voor medewerkers niet duidelijk is wat wel en niet mag. Binnen de organisatie bestaan veel rollen met een gedeelde verantwoordelijkheid, waardoor verantwoordelijkheid nemen vaak als lastig wordt ervaren. Deze aspecten hebben een grote invloed op het voorbeeldgedrag. Medewerkers geven aan dat het aan hen wordt gelaten of ze samen of langs elkaar werken. Het mag dan ook geen verbazing zijn dat het voor medewerkers onduidelijk is wat de organisatie als onaanvaardbaar aanmerkt, tevens is voor 7% van de in de enquête betrokken medewerkers niet duidelijk wat integer gedrag is. Door medewerkers wordt in interviews dan ook gesproken over mogen en moeten regels. Hiermee wordt bedoeld dat medewerkers een grote autonomie ervaren in hun handelen en soms een eigen afweging maken wat het best is in bepaalde situaties. Sommige regels moeten worden nageleefd, bijvoorbeeld op het gebied van veiligheid, maar van andere regels mag in bepaalde situaties worden afgeweken. Duidelijk is dat medewerkers dit naar eigen eer en geweten doen. Meer zorgwekkend is dat in Nederland en het Verenigd Koninkrijk relatief veel (264 van de 1.112, respectievelijk 24 en 23%) in de enquête betrokken medewerkers vinden dat hoe hoger de functie hoe minder men zich aan (gedrags)regels houdt. Verder valt op dat ten aanzien van handhaving sprake is van willekeur, 30% stelt dat: dezelfde overtredingen worden niet op dezelfde wijze bestraft. Wij merken hierbij op dat onderzoeken uitgevoerd door Concern Veiligheid worden gerapporteerd aan de directie van de bedrijfsonderdelen. De verantwoordelijkheid voor eventuele vervolgacties ligt bij deze directies. Balans hard- en soft controls In de organisatie wordt van hoog tot laag gesproken over mogen en moeten regels. Dit houdt in dat helder moet worden gemaakt van welke regels absoluut niet afgeweken mag worden (zero tolerance). Op deze regels dient strak gehandhaafd te worden, via een controlerende benadering. Denk hierbij aan het bewust misbruiken van vertrouwelijke informatie, fraude, maar natuurlijk ook het alcohol-en drugbeleid. Daarnaast spreken medewerkers over vakmanschap; met vakmanschap wordt bedoeld dat men zelf een afweging moet kunnen maken hoe te handelen. Hierbij is het belangrijk dat wordt gediscussieerd over hoe in specifieke situaties gehandeld wordt. Hierbij verdient een stimulerende benadering de voorkeur. De balans tussen regels en vertrouwen staat hierin centraal 5. 5 Muel Kaptein schreef hierover Trust Rules, negen uitgangspunten voor een betere balans tussen regels en vertrouwen. Pagina 44

46 Aanbevelingen Eén cultuur Wij bevelen aan om specifiek aandacht te geven aan het verder uniformeren van één cultuur en een consistente boodschap uit te dragen. Denk hierbij aan: Uniformiteit in kernwaarden Een specifieke Code of Ethics Eén heldere Gedragscode of bepaal welke aspecten: o in elke gedragscode opgenomen dienen te worden o desgewenst toegespitst mogen worden op lokale situaties o facultatief zijn Stel een duidelijke standaard ten aanzien van integriteitsaspecten o bij dochterondernemingen op afstand dient de standaard in de businessplannen verankerd te worden Controleren of Stimuleren Wij bevelen aan de balans tussen hard- en soft controls aan te scherpen. Denk hierbij aan de volgende stappen: 1. Inventariseer de regels / procedures / protocollen et cetera 2. Bepaal welke overbodig of verouderd zijn 3. Categoriseer op thema 4. Bepaal categorieën, bijvoorbeeld: o regels die zich kenmerken als zijnde zero tolerance ; veelal regels die o bepaald gedrag verbieden regels die gedrag / handelen voorschrijven; veelal procedures, protocollen o regels die richtinggevend bedoeld zijn (richtlijnen, guiding documenten) 5. Bepaal bij welke categorieën van regels een controlerende of stimulerende benadering past (of een combinatie) 6. Zorg ervoor dat Ethics & Compliance en Audit hier hun werkzaamheden op toespitsen Deze aanbeveling zorgt er eveneens voor dat de veelheid van regels beperkt kan worden. Helderheid De helderheid van regels dient sterk verbeterd te worden. Wij bevelen aan om hierin duidelijkheid te scheppen in regels voor medewerkers. Hiertoe dient meer aandacht besteed te worden aan training en het stimuleren van goed voorbeeldgedrag. Hierdoor kan een gezonder evenwicht ontstaan tussen hard- en soft controls. Dit evenwicht is op dit moment scheef gegroeid. Teveel regels die soms verouderd of overbodig zijn en te weinig aandacht voor uitleg en training over hoe in situaties te handelen op basis van deze regels. Overig Verder bevelen wij aan dat expliciet aandacht wordt besteed aan: Het verder verbeteren van tone at the top Het wegnemen van (het beeld van) voorkeursbehandeling (specifiek bij ScotRail) Het stimuleren van voorbeeldgedrag / Lead by Example Het aanspreken op afwijkend gedrag Deze verbeterpunten kunnen via een cultuurprogramma worden verbonden tot een omvattend verbetertraject. Het totale programma zal enkele jaren omvatten, omdat het veranderen van cultuur en het creëren van een omgeving waarin men zich veilig voelt om medewerkers en leidinggevende aan te spreken tijd kost. Deze gewenste structurele verbeteringen zijn deels al in gang gezet. Vanuit de achtergrond van deze opdracht bezien, is een hoge prioriteit bij het daadwerkelijk implementeren van deze structurele verbeteringen noodzakelijk. Pagina 45

47 11.3 Beeld bedrijfscultuur NS uit vragenlijst en plenaire sessies Vergelijk landen Algemeen Wij hebben medewerkers vragen gesteld gericht op een achttal onderwerpen, zijnde: Helderheid Voorbeeldgedrag Betrokkenheid Uitvoerbaarheid Bespreekbaarheid Transparantie Comfort om te melden Handhaving Over het algemeen kan gesteld worden dat op alle onderwerpen waarop getoetst is medewerkers in Duitsland en Scandinavië een meer positief beeld laten zien dan medewerkers in Nederland en het Verenigd Koninkrijk. Hierbij moet worden opgemerkt dat de concessies in Duitsland significant kleiner zijn en Scandinavië vooralsnog nog niet operationeel is en derhalve geen uitvoerende medewerkers heeft. Deze onderwerpen zijn algemeen aanvaard om cultuur binnen een organisatie te duiden. Waar in dit hoofdstuk medewerkers staat, wordt gedoeld op de respondenten van de vragenlijst. Figuur 11.1: Spider vergelijk landen Pagina 46

48 Vergelijk bedrijfsonderdelen Nederland Binnen de bedrijfsonderdelen van de NS-organisatie in Nederland is geen sprake van één bedrijfscultuur. Binnen de bedrijfsonderdelen worden verschillende reglementen, procedures en regels gehanteerd. Het uitdragen van de gemeenschappelijke kernwaarden komt hiermee in het geding. Onderstaand geven wij in de spider een vergelijk tussen de NS-onderdelen die actief zijn in Nederland. Daarnaast laat de directie over het algemeen een licht positiever beeld zien met betrekking tot de getoetste onderwerpen dan de manager. De manager oordeelt weer licht positiever dan de medewerker. Wij merken op dat bij Qbuzz de huidige directie op alle onderwerpen behalve betrokkenheid lager scoort dan managers en medewerkers. Vergelijk bedrijfsonderdelen Verenigd Koninkrijk Net als bij de bedrijfsonderdelen van NS in Nederland is er bij de OpCo s in het Verenigd Koninkrijk geen sprake van één bedrijfscultuur. De OpCo s bestaan uit verschillende concessies die door Abellio gewonnen zijn. Met het overnemen van de concessie wordt in feite een hele organisatie overgenomen inclusief personeel. Over het algemeen hebben de medewerkers een positief beeld over de organisatie. De medewerkers van ScotRail beoordelen alle vragen relatief minder positief dan de medewerkers van de andere OpCo s. Figuur 11.2: NS bedrijfsonderdelen Nederland Bij de individuele vragen zijn de antwoorden van de betrokken Qbuzz medewerkers over het algemeen minder positief dan de overige bedrijfsonderdelen van NS. Dit geldt over de gehele linie van vragen en thema s. Figuur 11.3: NS bedrijfsonderdelen Verenigd Koninkrijk Pagina 47

49 Voorbeelden per cultuuraspect Helderheid Helderheid geeft aan in hoeverre het voor de medewerker duidelijk is wat er van hem/haar wordt verwacht. Hoe duidelijker dit door de organisatie wordt gecommuniceerd, hoe meer de medewerker doet wat er van hem/haar verwacht wordt. Vrijwel alle medewerkers in Duitsland en Scandinavië hebben aangegeven dat duidelijk wordt gecommuniceerd wat integer en niet-integer-gedrag is. In Nederland en het Verenigd Koninkrijk is de score op helderheid in communicatie over integer en niet-integer-gedrag duidelijk lager (45 tot 46%). Binnen NS geven medewerkers op alle niveaus aan dat sprake is van moeten en mogen regels. Het is voor medewerkers onduidelijk wat moet en mag. Medewerkers noemen in dit kader regelmatig dat vakmanschap bepalend is in wat moet en mag. Binnen de organisatie zijn vertrouwenspersonen en compliance officers aangesteld. In Nederland weet 18% wie haar compliance officer is en 34% wie haar vertrouwenspersoon is. In het buitenland is dit respectievelijk 33% en 28%. Een overgroot deel van de medewerkers in Nederland (66%), het Verenigd Koninkrijk (75%) en de meerderheid in Scandinavië (57%) geeft aan niet te weten wie de vertrouwenspersoon is. Alleen in Duitsland geeft een overgrote meerderheid van de medewerkers aan wel te weten wie de vertrouwenspersoon is. De meerderheid van de medewerkers in Nederland (82%), het Verenigd Koninkrijk (68%) en Duitsland (67%) geeft aan niet te weten wie de compliance officer is. In Scandinavië geeft de meerderheid van de medewerkers juist wel aan te weten wie dit is. Medewerkers merken overigens op dat zij indien nodig wel weten hoe zij erachter moeten komen wie de vertrouwenspersoon of compliance officer is. Voorbeeldgedrag Voorbeeldgedrag geeft aan in hoeverre de medewerker het voorbeeld van het management volgt. Goed voorbeeld van het management doet goed volgen. Zoals tevens bij aspect helderheid is aangegeven, is het voor medewerkers binnen NS onduidelijk wat moet en wat mag. Dit maakt het moeilijk een voorbeeldfunctie te vervullen. Verantwoordelijkheid nemen ontbreekt vaak. In de huidige organisatiestructuur zijn veel rollen met gedeelde verantwoordelijkheden. Opvallend is dat de meerderheid van de medewerkers in het Verenigd Koninkrijk (62%), Duitsland (85%) en Scandinavië (100%) aangeeft dat de leidinggevende regels en gedragswaarden met de medewerker bespreekt. In Nederland geeft 42% dit aan. Daarnaast geeft ongeveer een kwart van de medewerkers in Nederland (24%) en het Verenigd Koninkrijk (23%) aan dat zij het eens te zijn met de stelling: Hoe hoger de functie van mensen in mijn organisatie, hoe minder zij zich aan de regels houden. Verder hebben enkele respondenten binnen ScotRail opgemerkt dat zij een vorm van voorkeursbehandeling ervaren binnen hun onderdeel of afdeling. Betrokkenheid Betrokkenheid geeft aan in hoeverre medewerkers zich betrokken voelen bij de organisatie. Medewerkers die betrokken worden bij de organisatie, zullen zich meer inzetten voor de belangen van de organisatie. De medewerkers in Scandinavië en Duitsland hebben over het algemeen iets positiever gestemd dan de medewerkers in Nederland en het Verenigd Koninkrijk. Opgemerkt moet worden, dat dit niet betekent dat zij zich meer betrokken voelen bij NS, maar wel bij de organisatie waartoe zij behoren. Pagina 48

50 Medewerkers werkzaam bij ScotRail voelen zich geen NS er of Abellio er maar een ScotRail er. Uitvoerbaarheid Uitvoerbaarheid geeft aan dat naarmate medewerkers meer middelen en tijd krijgen om hun taken uit te voeren, zij beter in staat zijn om te doen wat er van hen verwacht wordt. In Nederland en het Verenigd Koninkrijk geven medewerkers aan dat de werkdruk in de afgelopen twee jaar aanzienlijk is toegenomen. In Nederland geven 304 van de 646 medewerkers (47%) aan dat een eigen interpretatie van regels soms nodig is. Zie hiertoe ook de opmerkingen over moeten en mogen regels en vakmanschap bij aspect helderheid. Het wordt aan de medewerkers overgelaten of ze elkaar opzoeken of langs elkaar heen werken. Het is voor de medewerker niet altijd even duidelijk welke regels en procedures gevolgd dienen te worden. Wij constateerden dat de organisatie een organisatie breed programma omtrent Gifts & Hospitality heeft uitgerold. Toch blijkt dat medewerkers de registratie in het Gifts & Hospitality register niet consistent en eenduidig toepassen. Hierdoor bestaat het risico dat geschenken en/of activiteiten onterecht niet in het register worden vermeld. Binnen de OpCo s geeft een meerderheid van de medewerkers aan over voldoende middelen te beschikken om zijn/haar taken uit te voeren. Uitzondering hierop is ScotRail. De meerderheid van de medewerkers heeft aangegeven niet over voldoende middelen te beschikken. Bespreekbaarheid Met bespreekbaarheid wordt bedoeld dat naarmate medewerkers binnen de organisatie meer ruimte krijgen om morele zaken te bespreken, zij dit ook zullen doen en kunnen zij daarvan leren. Wij merken op dat uit de enquête naar voren komt dat binnen de bedrijfsonderdelen een cultuur heerst waar medewerkers elkaar kunnen aanspreken op ongewenst gedrag; 76% geeft aan elkaar hierop te kunnen aanspreken. Er is sprake van een open werkcultuur. Echter zijn er ook een aantal die het tegenovergestelde ervaren. Iemand benoemd dat na de Fyra meer angst is opgekomen, ook wordt de term angstcultuur een enkele keer genoemd. Uit door ons gevoerde gesprekken komt ook naar voren dat sommige medewerkers het als moeilijk ervaren om een collega aan te spreken op onaanvaardbaar gedrag. Qbuzz scoort lager op vragen rondom het aspect bespreekbaarheid dan medewerkers van andere bedrijfsonderdelen in Nederland. De onregelmatigheden en de speculatie over een eventuele verkoop van Qbuzz speelt hier mogelijk een rol. Wij begrepen van medewerkers dat deze gebeurtenissen bepalend zijn voor het negatieve gevoel dat zij hebben. Zij voelen zich geen onderdeel van de NS-organisatie. Opvallend is dat bij Qbuzz relatief veel medewerkers zich niet vrij voelen om andere medewerkers aan te spreken op niet-integer-gedrag; 162 van de 202 medewerkers voelt zich niet vrij elkaar hierop aan te spreken. Pagina 49

51 Transparantie Met transparantie wordt bedoeld dat naarmate medewerkers beter zicht hebben op andermans en eigen gedrag en de effecten daarvan, zij hier in eigen gedrag meer rekening mee houden en hun eigen gedrag beter kunnen (bij) sturen en doen wat anderen verwachten. Binnen de verschillende OpCo s wordt er wisselend gedacht over de transparantie van het besluitvormingsproces in de organisatie. Binnen ScotRail ervaren medewerkers dat het management weinig communiceert. Voor sommige medewerkers van ScotRail is het onduidelijk wie tot het management behoort. Medewerkers van ScotRail hebben het idee dat persoonlijke voorkeur een grote rol speelt bij promoties en het aannemen van medewerkers en dat dit dus niet gebeurt op basis van iemands kwaliteiten. Comfort om te melden Comfort om te melden betekent dat de medewerker het vertrouwen heeft dat er zorgvuldig wordt omgegaan met een melding. De meerderheid van de medewerkers van de OpCo s heeft aangegeven de leidinggevende te kunnen benaderen met vragen over integriteit. Uitzondering hierop zijn de medewerkers van ScotRail. Een meerderheid van de medewerkers (69 van de 132) geeft juist aan de leidinggevende hier niet over te kunnen benaderen. Hierbij zijn de opmerkingen over aanname en promotie als ook over de beperkte communicatie over integriteit relevant. Over het algemeen voelen medewerkers van Abellio UK zich vrij om gedrag in strijd met de regels te melden. Uitzondering hierop zijn de medewerkers van ScotRail. Meer dan de helft van deze medewerkers is het hier niet mee eens. Het management van de OpCo s wordt in enkele gevallen door medewerkers als incompetent beoordeeld. Zij zijn niet in staat een veilige werkomgeving voor het personeel te creëren. Handhaving Onder handhaving verstaan wij dat naarmate de handhaving beter is, medewerkers meer doen wat wordt beloond en minder wat wordt bestraft. Vanuit verschillende OpCo s wordt aangegeven dat men het gevoel heeft dat vergelijkbare overtredingen niet op dezelfde manier worden bestraft. Bij ScotRail wordt dit zelfs bevestigd door meer dan de helft van de medewerkers. Pagina 50

52 DEEL E Specifieke thema s Pagina 51

53 12 Biedingsproces 12.1 Achtergrond biedingsproces De biedingen van NS op vervoersconcessies worden veelal verzorgd door Abellio Transport Holding BV en de aan haar gelieerde dochterondernemingen. Abellio is actief in vier regio s: het Verenigd Koninkrijk, Duitsland, Scandinavië en Nederland. Het zwaartepunt van de concessieportfolio ligt momenteel in het Verenigd Koninkrijk. Binnen de regio s is onderscheid te maken tussen het type vervoersconcessies waarop wordt geboden. In het Verenigd Koninkrijk richt Abellio zich op trein- en busconcessies. In Duitsland wordt momenteel uitsluitend deelgenomen aan aanbestedingen van treinconcessies. In Scandinavië neemt Abellio deel aan aanbestedingen op zowel trein- als metroconcessies. Abellio verwacht dat in de toekomst ook op busconcessies zal worden geboden in Scandinavië. In Nederland neemt de Abellio-dochter Qbuzz deel aan de aanbesteding van vervoersconcessies. Deze concessies zijn voor gecombineerd vervoer van trein, bus en overig openbaar vervoer. Qbuzz is in 2013 bij Abellio ondergebracht, daarvoor maakte Qbuzz sinds 2008 als onderdeel uit van de Nederlandse NS organisatie. Indien een aanbesteding is gewonnen, start de mobilisatiefase waarbij de organisatie ofwel wordt opgezet (Duitsland) of wordt overgenomen (het Verenigd Koninkrijk en Nederland). Na de mobilisatie fase gaat de organisatie over in de uitvoering van de concessie waarbij de concessieverplichtingen en de communicatie naar de concessiegever over deze punten centraal staat. Dit proces is van toepassing op: Abellio UK Abellio Duitsland Abellio Scandinavië Het projects governance process bestaat uit zes fases: 1. Opportunity Evaluation 2. Planning & Pre-Qualification 3. Preparation 4. Bid 5. Bid submission & Evaluation 6. Mobilisation transition In het proces zijn de rollen en verantwoordelijkheden van de belanghebbende onderdelen duidelijk weergegeven. Er zijn drie belangrijke besluitmomenten (ook wel Gateways). Gateway 1 Nadat fase 1 is afgerond dient het Project Mandaat opgesteld te worden alvorens over gegaan kan worden naar fase 2. Indien het Project Mandaat niet consistent is met de strategie en het budget uit het businessplan dient de RvB van NS het Project Mandaat te beoordelen en goed te keuren. Governance biedingsproces Abellio heeft de afgelopen jaren veel aandacht besteed aan het verbeteren van het biedingsproces. In dit kader is er een projects governance process ontwikkeld. Pagina 52

54 Gateway 2 Het tweede beslismoment is voor het opstellen van het bod. Bij Gateway 2 dient het Project Initiatie Document (PID) door zowel de Abellio Executive board als door de RvB van NS goedgekeurd te worden. Zonder deze goedkeuring mag niet worden deelgenomen aan een bieding. Gateway 3 Hier wordt besloten het bod al dan niet in te dienen en onder welke voorwaarden. Het doorslaggevende document is het Investeringsvoorstel. Het doel van het Investeringsvoorstel is om formeel toestemming te verkrijgen om een bindend bod op een concessie in te dienen. Het Investeringsvoorstel dient door zowel de NS-directies als de RvC van NS goedgekeurd te worden voordat een bindend bod mag worden uitgebracht. In enkele gevallen dient tevens toestemming van de aandeelhouder van NS verkregen te worden. Het beschreven proces sluit in haar stappen aan bij het aandeelhoudersbesluit Abellio, zoals tussen NS en ATH is overeengekomen. In dit aandeelhoudersbesluit Abellio is bepaald dat bij het opstellen van een bieding, goedkeuring moet worden verkregen van aandeelhouder NS. In het proces is hierin voorzien bij Gateway 2. Ook sluit de getrapte besluitvorming bij Gateway 3 aan bij de systematiek van het Investeringsmanual. In het Investeringsmanual is bepaald dat bij biedingen op concessies in landen waarin NS actief is, bij een investeringswaarde vanaf 5 miljoen, goedkeuring nodig is van de ExCo. Bij biedingen met een investeringswaarde van meer dan 25 miljoen is tevens goedkeuring van de RvC vereist. In de concept-statuten van NS is voorzien dat de goedkeuring van de aandeelhouder wordt vereist bij biedingen op concessies met een investeringswaarde van meer dan 100 miljoen. In de akte van oprichting van Qbuzz BV van 9 april 2008 is bepaald dat goedkeuring van haar aandeelhouder (Abellio) is vereist voor besluiten van de directie van Qbuzz bij het uitbrengen van een bod op vervoersconcessies. De besluiten van de directie van Abellio zijn vervolgens weer in bovengenoemde situaties aan goedkeuring van NS gebonden. Het Investeringsmanual van NS is van overeenkomstige toepassing op Qbuzz inclusief de daarin opgenomen investeringsgrenzen en goedkeuringsprocedures. Zoals aangegeven is het Project governance process van toepassing voor Abellio UK, Abellio Duitsland en Abellio Scandinavië. Biedingen van Qbuzz maken geen onderdeel uit van het Project governance process. Binnen Qbuzz bestaan geen andere procedures, protocollen of aanwijzingen ten aanzien van het biedingsproces. Qbuzz heeft een aandeelhoudersrelatie met ATH en ATH heeft geen standaard vastgesteld. Figuur 12.1: Projects governance process overview UK. Bron: Bid Governance Presentation 17 Feb 2013 v1-2 Pagina 53